CVE-2018-2894
在 Weblogic Web Service Test Page 中存在一处任意文件上传漏洞, Web Service Test
Page 在"生产模式"下默认不开启,所以该漏洞有一定限制。利用该漏洞,可以上传任意 jsp 文件,进而获取服务器权限。
影响范围
Oracle WebLogic Server版本
10.3.6.0
12.1.3.0
12.2.1.2
12.2.1.3
影响页面
该漏洞的影响模块为web服务测试页,在默认情况下不启用。
/ws_utc/config.do
/ws_utc/begin.do
通过测试在10.3.6版本上未发现该功能
登录控制台-》base_domain-》高级-》勾选启用Web服务测试页 -》保存
漏洞搭建
docker-compose up -d 启动容器
docker-compose logs | grep password 查看启动密码
进行登录
登录控制台-》base_domain-》高级-》勾选启用Web服务测试页 -》保存
漏洞复现
访问影响页面
ip:port/ws_utc/config.do
需要通过信息泄露的方式得到网站上传的绝对路径,并设置工作目录
这里的绝对路径为:
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/config/keystore
这里我设置Work Home Dir为:
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/config/keystore
当然这个路径也可以,看实际情况:
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
ws_utc应用的静态文件css目录,访问这个目录是无需权限的
安全-添加-上传jsp木马文件-getshell
burp 抓包查看上传路径
拿到时间戳:1670251491909
文件名:
上传路径:
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war
getshell
访问http://ip:port/bea_wls_internal/config/keystore/[时间戳]_[文件名],即可执行webshell
http://ip:port/bea_wls_internal/config/keystore/1670251491909_JspSpy.jsp
输入大马密码,getshell成功