【漏洞复现】Weblogic漏洞搭建与复现：CVE-2018-2894 任意文件上传

Hello，各位小伙伴大家好~

今天依然是复现weblogic相关漏洞~

今天的内容是weblogic任意文件上传漏洞~

一起来看看吧~

Part.1

漏洞说明

漏洞说明

Oracle在一次更新中，修复了WeblogicWeb Service Test Page中一处任意文件上传漏洞，Web Service Test Page 在“生产模式”下默认不开启，所以该漏洞有一定限制。

利用该漏洞，可以上传任意文件，进而获取服务器权限。

影响版本：

Oracle WebLogic Server，版本10.3.6.0，12.1.3.0，12.2.1.2，12.2.1.3。

漏洞页面：

/ws_utc/begin.do，/ws_utc/config.do

Part.2

环境搭建

Vulhub环境搭建

Vulhub是一个基于docker和docker-compose的漏洞环境集合，配合docker进行使用。

首先根据官网说明，安装好vulhub：

https://vulhub.org/

2、部署漏洞环境

如果刚开机，需要先启动docker：

之前也写过一期docker的使用方法：

【Linux】使用docker搭建Apache/Nginx服务器

可以看到vulhub中包含以下weblogic漏洞环境：

部署漏洞环境：

查看虚机状态：

尝试访问，成功~:

使用weblogic/ DBzP4mhT登陆后台，点击base_domain，修改配置:

只有开启“web服务测试页”才存在该漏洞：

Part.3

漏洞复现

漏洞利用

首先访问漏洞页面：

http://192.168.3.129:7001/ws_utc/config.do

首先把工作目录从：

/u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir

修改为：

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

因为ws_utc应用的静态文件css目录是无需访问权限的，而默认的工作目录即使上传成功，也无法访问。

点击安全-添加进行文件上传：

上传shell.jsp并提交：

上传完毕后，检查当前页面元素可以发现时间戳：

那么该文件的访问路径就是： http://192.168.3.129:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]

访问：

http://192.168.3.129:7001/ws_utc/css/config/keystore/1595399038538_shell.jsp

最后通过冰蝎连接webshell：

//成功~

修复建议

（1）关闭web服务测试页，或者为/ws_utc/config.do页面添加访问权限控制。

（2）升级至官方最新版本。

Part.3

结语

好啦，以上就是今天的全部内容了~

如果有问题，欢迎到公众号一名白帽的成长史留言~