0x00 前言
昨天360眾測遇到的一個題
今天自己搭環境復現一下,希望對大家有幫助
0x01 漏洞簡介
Weblogic管理端未授權的兩個頁面存在任意上傳jsp文件漏洞,進而獲取服務器權限。
Oracle 7月更新中,修復了Weblogic Web Service Test Page中一處任意文件上傳漏洞,Web Service Test Page 在 ‘生產模式’ 下默認不開啟,所以該漏洞有一定限制。兩個頁面分別為/ws_utc/begin.do、/ws_utc/config.do。
0x02 影響版本
weblogic 10.3.6.0
weblogic 12.1.3.0
weblogic 12.2.1.2
weblogic 12.2.1.3
0x03 環境搭建
vulhub 搭建
不會的小伙伴看這:https://www.cnblogs.com/bflw/p/12534401.html
0x04 漏洞復現
1.進入vulhub/weblogic/CVE-2018-2894目錄下,生成靶場
2.執行docker-compose logs | grep password可查看管理員密碼
3.環境啟動之后,訪問http://ip:7001/console,即可看到后台登錄頁面
4.登錄后台頁面,點擊base_domain的配置,在 ‘高級’ 中勾選 ‘啟用 Web 服務測試頁’ 選項,然后保存配置。
5.訪問鏈接http://192.168.2.145:7001/ws_utc/config.do
6.訪問`http://your-ip:7001/ws_utc/config.do`,設置Work Home Dir為`/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css`。我將目錄設置為`ws_utc`應用的靜態文件css目錄,訪問這個目錄是無需權限的,這一點很重要。
7.點擊 安全--> 然后上傳webshell
抓包,,可以看到返回得時間戳
上傳的文件名為:時間戳 + 下划線 + 上傳的文件名名稱
然后再瀏覽器訪問
像下面
http://ip:7001/ws_utc/css/config/keystore/1587176342376_cmd.jsp
jsp碼關注公眾號,私信領取
企鵝群:1045867209
歡迎各位表哥
博主公眾號
