Weblogic任意文件上传漏洞(CVE-2018-2894)复现
漏洞介绍:
CVE-2019-2618漏洞主要是利用了WebLogic组件中的DeploymentService接口,该接口支持向服务器上传任意文件。攻击者突破了OAM(Oracle Access Management)认证,设置wl_request_type参数为app_upload,构造文件上传格式的POST请求包,上传jsp木马文件,进而可以获得整个服务器的权限。
影响版本:
WebLogic 10.3.6.0、12.1.3.0、12.2.1.3
环境复现:
使用docker搭建漏洞测试环境
micr067@test:~/vulhub/weblogic/CVE-2018-2894$ sudo docker-compose build
weblogic uses an image, skipping
micr067@test:~/vulhub/weblogic/CVE-2018-2894$ sudo docker-compose up -d
http://x.x.x.x:7001/console 登录控制台
sudo docker-compose logs | grep password 查看环境账号密码
用户名:weblogic
密 码:cWkt0VPA
点击base_domain ,的配置
在高级中开启 ”启用 Web 服务测试页“选项,保存。
T3也称为丰富套接字,是BEA内部协议,功能丰富,可扩展性好。T3是多工双向和异步协议,经过高度优化,只使用一个套接字和一条线程。借助这种方法,基于Java的客户端可以根据服务器方需求使用多种RMI对象,但仍使用一个套接字和一条线程。
http://x.x.x.x:7001/ws_utc/config.do
设置Work Home Dir为
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
将目录设置为ws_utc应用的静态文件css目录,访问这个目录是无需权限的,然后提交。
然后点击“安全”,添加 ,弹出登录框,点击“浏览”上传webshell并抓包。
可以看到已经成功上传。
访问http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名],即可执行webshell
http://x.x.x.x:7001/ws_utc/css/config/keystore/1569757334193_111.jsp
可以访问
使用蚁剑和菜刀连接失败,换用冰蝎的shell 使用冰蝎成功连接。
漏洞修复:
Oracle官方已经在关键补丁更新(CPU)中修复了该漏洞