(CVE-2018-2894)Weblogic任意文件上传漏洞复现
漏洞说明
Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。
影响范围
10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3
环境搭建
进入vulhub/weblogic/CVE-2018-2894目录下执行命令docker-compose up -d生成靶场
环境生成后访问http://ip:7001/console 查看是否搭建成功测试环境版本为:12.2.1.3
漏洞利用
存在漏洞的页面为ws_utc/config.do,直接访问http://ip:7001/ws_utc/config.do,发现无需登录修改 Work Home Dir的内容为/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css,因为访问这个目录不需要权限,然后提交。
然后左边导航栏点击安全,然后页面点击添加,即可进行文件上传名字和密码随便设置,我这里上传了一个jsp大马
提交的时候对数据进行抓包,在返回包中查看id
访问http://ip:7001/ws_utc/css/config/keystore/id_文件名.jsp,上传成功
Additon
部分版本可能需要开启web服务测试页
登录管理后台,账号weblogic,密码在vulhub漏洞环境目录下输入命令docker-compose logs | grep password
登录后点击base_domain,高级勾选‘启用web服务测试页’后,点击保存即可。
.
修复建议
1、 设置config.do,begin.do页面登录授权后访问;
2、 IPS等防御产品可以加入相应的特征;
3、 升级到官方的最新版本;