CVE-2018-2894任意文件上传(Weblogic)漏洞复现

以你之姓@ 2023-02-12 08:28 13阅读 0赞

### 文章目录 ###

*   *   *  0x01漏洞介绍
         *  0x02利用条件
         *  0x03影响版本
         *  0x04环境搭建
         *  0x05漏洞复现
         *  0x06漏洞修复
         *  摘抄

### 0x01漏洞介绍 ###

*  Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞，进而获取服务器权限。
 *  两个页面分别为
    
    /ws\_utc/begin.do /ws\_utc/config.do。

### 0x02利用条件 ###

*  需要知道部署应用的web目录
 *  ws\_utc/config.do在开发模式下无需认证，在生产模式下需要认证。

### 0x03影响版本 ###

*  Weblogic 10.3.6.0
 *  Weblogic 12.1.3.0
 *  Weblogic 12.2.1.2
 *  Weblogic 12.2.1.3

### 0x04环境搭建 ###

vmware15.5pro
    ubuntu 16.04-vulhub
    
    cd  vulhub-master/weblogic/CVE-2018-2894
    docker-compose up -d
    docker-compose logs | grep password
        'weblogic' admin password: elt4qTZb
         weblogic_1  | admin password  : [elt4qTZb]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70]

### 0x05漏洞复现 ###

> 第一步 :访问网站

http://192.168.232.130:7001/console/login/LoginForm.jsp

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 1]

> 第二步:进入之后，单击base\_domain-高级-启动web服务测试页，最后保存配置。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 2]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 3]

> 第三步:更改Work Home Dir的路径

目录设置为ws\_utc应用的静态文件css目录，访问这个目录是无需权限的，

http://192.168.232.130:7001/ws_utc/login.do
    
    
    /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 4]

> 第四步： 上传jsp文件

点击安全-添加-选择文件，名字和密码任意（选择文件即为木马）

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 5]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 6]

> 第五步 通过文件路径，查看上传的jsp木马

通过查看源代码，发现是时间戳命名来保存文件

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 7]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 8]

### 0x06漏洞修复 ###

1.设置config.do,begin.do页面登录授权后访问；

2、 IPS等防御产品可以加入相应的特征；

3、 升级到官方的最新版本\[http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html\]

4、进入Weblogic Server管理控制台；---->domain设置中，启用”生产模式”，如图：

\[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ymPOUXxT-1590393194068)(images\\10.jpg)\]

Weblogic Server管理控制台；---->domain设置中，启用”生产模式”，如图：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 9]

### 摘抄 ###

--------------------

无论什么事， 鞠躬尽瘁，均有限度，只能做到这样； 如果还不够好，也只得作罢； 怎可任人搓圆揉扁，尊严荡然无存； 量力而为最好。 ------亦舒《随心》

--------------------

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20200525155355994.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20200525155410485.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/20200525155416725.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 3]: https://img-blog.csdnimg.cn/20200525155423255.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 4]: https://img-blog.csdnimg.cn/2020052515543164.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 5]: https://img-blog.csdnimg.cn/2020052515543744.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 6]: https://img-blog.csdnimg.cn/20200525155443290.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 7]: https://img-blog.csdnimg.cn/20200525155455982.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 8]: https://img-blog.csdnimg.cn/20200525155501446.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 9]: https://img-blog.csdnimg.cn/20200525155509283.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy,size_16,color_FFFFFF,t_70