weblogic 任意文件上传漏洞复现(CVE-2018-2894)
漏洞介绍
WebLogic管理端页面/ws_utc/begin.do、/ws_utc/config.do下可上传任意getshell
复现环境
vulhub的docker环境
利用条件
需要知道部署应用的web目录
ws_utc/config.do在开发模式下无需认证
影响范围
Oracle WebLogic Server,版本 12.1.3.0, 12.2.1.2, 12.2.1.3
复现过程
访问 http://192.168.1.129:7001/console/login/LoginForm.jsp
根据提示输入用户名密码(docker-compose logs | grep password),进入后台
登录后台页面,点击base_domain的配置,在“高级”中开启“启用 Web 服务测试页”选项,并保存
访问 http://192.168.1.129:7001/ws_utc/config.do
更换当前工作目录为:
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
我将目录设置为ws_utc应用的静态文件css目录,访问这个目录是无需权限的,以便后面上传文件成功后可以正常访问到
在左侧选择安全
上传asp的webshell时使用bp抓包获取时间戳 1616923859920
然后访问/ws_utc/css/config/keystore/[时间戳]_[文件名]
http://192.168.1.129:7001/ws_utc/css/config/keystore/1616923859920_shell.jsp
上传并成功访问到
使用冰蝎成功连接
参考
https://mp.weixin.qq.com/s/y5JGmM-aNaHcs_6P9a-gRQ
https://xz.aliyun.com/t/2458
https://vulhub.org/#/environments/weblogic/CVE-2018-2894/