CVE-2018-2894 Weblogic 任意文件上传漏洞复现
漏洞简介
WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do。
详细:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html#AppendixFMW
影响范围
Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。
环境搭建
使用 docker+vulhub搭建环境
启动漏洞环境
# cd vulhub/weblogic/CVE-2018-2894/
# docker-compose up -d
访问http://your-ip:7001/console
访问页面
执行命令查看登录密码,登录后台
docker-compose logs | grep password
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-u6wpbBR4-1614957045421)(http://03yinguo.top/wp-content/uploads/2021/02/image-33-1024x553.png)]
点击base_domain
的配置
在“高级”中开启“启用 Web 服务测试页”选项
保存配置
漏洞复现
访问http://your-ip:7001/ws_utc/config.do
,
设置Work Home Dir为
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
将目录设置为ws_utc
应用的静态文件css目录,访问这个目录是无需权限的
之后在 安全 - 增加,然后上传一句话木马
抓包查看时间戳
或者右键审查元素,查看时间戳
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dXjtz77W-1614957045430)(http://03yinguo.top/wp-content/uploads/2021/02/image-43-1024x889.png)]
访问http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]
,即可
我上传的是冰蝎码,所以直接用冰蝎连接
成功上线