CVE-2018-2894 Weblogic任意文件上传

0x01 漏洞概述

weblogic管理端未授权的两个页面在任意上传jsp文件漏洞，今儿获取服务器权限。
Oracle 7月更新中，修复了Weblogic Web Service Test Page中一处任意文件上传漏洞，Web Service Test Page 在 ‘生产模式’ 下默认不开启，所以该漏洞有一定限制。两个页面分别为/ws_utc/begin.do、/ws_utc/config.do。

0x02 受影响的版本

weblogic 10.3.6.0
weblogic 12.1.3.0
weblogic 12.2.1.2
weblogic 12.2.1.3

0x03 环境搭建

在cmd下切换到jdk的bin目录下，然后输入
java -jar fmw_12.1.3.0.0_wls.jar

启动weblogic的安装
安装时若目录不需要改直接默认即可。

安装完成后会进入配置向导

安装完后点击startWeblogic启动即可

0x04 漏洞复现
访问http://ip:7001/console/login/LoginForm.jsp出现下面页面说明安装成功

1 点击base_domain----高级—勾选启用web服务测试页


2.访问http://192.168.4.106:7001/ws_utc/config.do修改文件上传的位置，这里我修改为css目录，这个目录的权限比较大，这里目录的绝对路径如下：D:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls_12.1.3\cmprq0\war\css

3.点击安全–添加–传入上传的大马-打开bp抓response的返回包，查看文件名的时间戳


这里可以看到使用bp抓到返回的时间戳为1583411140684
4.访问上传的大马
地址：http;//192.168.4.106:7001/ws_utc/css/config/keystore/1583411140684_JspSpy.jsp

如图可以成功访问到自己上传的大马，并执行系统命令。