【漏洞复现】Weblogic漏洞搭建与复现:CVE-2018-2894 任意文件上传
【漏洞复现】Weblogic漏洞搭建与复现:CVE-2018-2894 任意文件上传
Hello,各位小伙伴大家好~
今天依然是复现weblogic相关漏洞~
今天的内容是weblogic任意文件上传漏洞~
一起来看看吧~
Part.1
漏洞说明
漏洞说明
Oracle在一次更新中,修复了WeblogicWeb Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在“生产模式”下默认不开启,所以该漏洞有一定限制。
利用该漏洞,可以上传任意文件,进而获取服务器权限。
影响版本:
Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。
漏洞页面:
/ws_utc/begin.do,/ws_utc/config.do
Part.2
环境搭建
Vulhub环境搭建
Vulhub是一个基于docker和docker-compose的漏洞环境集合,配合docker进行使用。
首先根据官网说明,安装好vulhub:
https://vulhub.org/
2、部署漏洞环境
如果刚开机,需要先启动docker:
之前也写过一期docker的使用方法:
【Linux】使用docker搭建Apache/Nginx服务器
可以看到vulhub中包含以下weblogic漏洞环境:
部署漏洞环境:
查看虚机状态:
尝试访问,成功~:
使用weblogic/ DBzP4mhT登陆后台,点击base_domain,修改配置:
只有开启“web服务测试页”才存在该漏洞:
Part.3
漏洞复现
漏洞利用
首先访问漏洞页面:
http://192.168.3.129:7001/ws_utc/config.do
首先把工作目录从:
/u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir修改为:
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css因为ws_utc应用的静态文件css目录是无需访问权限的,而默认的工作目录即使上传成功,也无法访问。
点击安全-添加进行文件上传:
上传shell.jsp并提交:
上传完毕后,检查当前页面元素可以发现时间戳:
那么该文件的访问路径就是: http://192.168.3.129:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]
访问:
http://192.168.3.129:7001/ws_utc/css/config/keystore/1595399038538_shell.jsp
最后通过冰蝎连接webshell:
//成功~
修复建议
(1)关闭web服务测试页,或者为/ws_utc/config.do页面添加访问权限控制。
(2)升级至官方最新版本。
Part.3
结语
好啦,以上就是今天的全部内容了~
如果有问题,欢迎到公众号一名白帽的成长史留言~