Vulhub 文檔Weblogic 任意文件上傳漏洞(CVE-2018-2894)
Oracle 7月更新中,修復了Weblogic Web Service Test Page中一處任意文件上傳漏洞,Web Service Test Page 在“生產模式”下默認不開啟,所以該漏洞有一定限制。
利用該漏洞,可以上傳任意jsp文件,進而獲取服務器權限。
參考鏈接:
- http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
- https://mp.weixin.qq.com/s/y5JGmM-aNaHcs_6P9a-gRQ
- https://xz.aliyun.com/t/2458
漏洞環境
執行如下命令,啟動weblogic 12.2.1.3:
docker-compose up -d環境啟動后,訪問http://your-ip:7001/console,即可看到后臺登錄頁面。
執行docker-compose logs | grep password可查看管理員密碼,管理員用戶名為weblogic。
登錄后臺頁面,點擊base_domain的配置,在“高級”中開啟“啟用 Web 服務測試頁”選項:
漏洞復現
訪問http://your-ip:7001/ws_utc/config.do,設置Work Home Dir為/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css。我將目錄設置為ws_utc應用的靜態文件css目錄,訪問這個目錄是無需權限的,這一點很重要。
然后點擊安全 -> 增加,然后上傳webshell:
上傳后,查看返回的數據包,其中有時間戳:
然后訪問http://your-ip:7001/ws_utc/css/config/keystore/[時間戳]_[文件名],即可執行webshell:
推薦文章: