漏洞背景
CNCERT发现Oracle公司出品的基于JavaEE结构的中间件WebLogic产品存在一个远程上传漏洞,随后Oracle官方发布了关键补丁更新CPU(Critical Patch Update),其中针对可造成远程文件上传的高危漏洞 CVE-2018-2894 进行修复:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html。
影响版本
10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3
漏洞复现
使用vulhub拉取靶场
使用命令docker-compose logs|grep password 获取登陆后台密码,用户名为weblogic
真实环境暴力破解
访问后台登录页面http://IP+端口/console/console.portal?_nfpb=true&_pageLabel=HomePage1
进入base_domain模块点开高级选项,打开web测试页,保存后进入开发模式
在开发模式中存在两个漏洞点,开发环境下的测试页有两个,分别为 config.do 和 begin.do
首先进入 config.do 文件进行设置
将目录设置为 ws_utc 应用的静态文件css目录,访问这个目录是无需权限的,这一点很重要。
设置工作目录
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
转到安全设置,添加要上传的木马文件
上传成功后使用CTRL+F12打开浏览器管理,用左上角的小箭头选中我们上传的文件名,获取id
将获取到的id拼接到如下命令中,访问我们的木马
http://IP+端口/ws_utc/css/config/keystore/1697197344664_shell.jsp
哥斯拉连接
漏洞修复
1、 设置config.do,begin.do页面登录授权后访问;
2、 IPS等防御产品可以加入相应的特征;
3、 升级到官方的最新版本;