Weblogic任意文件上傳漏洞(CVE-2018-2894)復現
漏洞背景
WebLogic管理端未授權的兩個頁面存在任意上傳getshell漏洞,可直接獲取權限。兩個頁面分別為/ws_utc/begin.do,/ws_utc/config.do。
影響范圍
Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。
漏洞詳情
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html#AppendixFMW
應為是本地搭建環境,所以在登陸日志中尋找登陸密碼:docker-compose logs | grep password
可得登陸用戶名密碼為:weblogic/eZh6Cefm
正常的環境是判斷是否存在weblogic弱口令,或者根據版本信息來讀取敏感文件,比如,或者
保存配置
訪問 http://192.168.0.132:7001/ws_utc/config.do ,設置Work Home Dir為
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css。
我將目錄設置為 ws_utc 應用的靜態文件css目錄,訪問這個目錄是無需權限的,這一點很重要。
然后點擊安全 -> 增加,然后上傳webshell:
點擊提交之后,可是使用Burpsuite攔截返回的數據包來尋找返回的時間戳ID
也可以通過瀏覽器的調試台來尋找返回的時間戳ID。F12打開調試台。
刷新可看到的確上傳成功
然后訪問:http://your-ip:7001/ws_utc/css/config/keystore/[時間戳]_[文件名],即可執行webshell
成功get webshell
漏洞需要滿足條件:
- 需要知道部署應用的web目錄
- ws_utc/config.do在開發模式下無需認證,在生產模式下需要認證。具體可見Oracle® Fusion Middleware Administering Web Services