Weblogic任意文件上传漏洞(CVE-2018-2894)复现
0x00 什么是Weblogic
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
0x01 漏洞描述
Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。Oracle 2018 年 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制,漏洞存在页面在/ws_utc/config.do。
0x02 影响版本
weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。
0x03 环境搭建
git clone https://github.com/vulhub/vulhub.git #下载漏洞环境
cd vulhub/weblogic/CVE-2018-2894
docker-compose up -d #启动靶场
0x04 漏洞复现
想要复现成功必须要满足两个条件:
1、 需要 登录后台页面,点击base_domain
的配置,在 ‘高级’中勾选 ‘启用 Web 服务测试页’ 选项,然后保存配置。
登录weblog控制台 http://192.168.190.136:7001/console/login/LoginForm.jsp
使用 docker-compose logs | grep password
查看登录账户密码
开启web服务测试页: base_domain的设置-》高级-》勾选“启用web服务测试页”-》保存。
2.、需要设置低权限上传目录
这个设置时未授权的,无需登录
访问 http://192.168.190.136:7001/ws_utc/config.do 更改工作目录
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
上传shell.jsp
在左侧设置-》安全,存在上传点,无任何限制。
bp抓包,获取上传后文件名。
访问shell.jsp是否存在 http://192.168.190.136:7001/ws_utc/css/config/keystore/1611899544633_shell.jsp
没有404表示已经上传成功,连接shell。
0x05漏洞防御
1、 设置config.do,begin.do页面登录授权后访问;
2、 IPS等防御产品可以加入相应的特征;
3、 升级到官方的最新版本。
参考:https://blog.csdn.net/weixin_43625577/article/details/97001677