CVE-2018-2894-WebLogic-File-Upload
forg12
  2022-10-26 10:27:01 2022-10-26 10:27      423 字  

描述

​ WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do。

影响版本

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

漏洞检测

如果访问以下网址存在,则是存在漏洞。

1
http://192.168.3.50:7001/ws_utc/config.do

环境搭建

这里使用vulnhub环境来复现该漏洞。

1
2
3
4
#进入漏洞目录
cd vulhub/weblogic/CVE-2018-2894
#开启环境
docker-compose up -d

image-20221026103013876

输入一下地址进入后台登录页面。

1
http://192.168.3.50:7001/console/login/LoginForm.jsp

image-20221026103232448

执行docker-compose logs | grep password查看weblogic的密码。

image-20221026103324108

1
'weblogic' admin password: WbyQous7

image-20221026103737797

点击base_domain,点击高级设置,勾选启用web服务测试页。

image-20221026103946389

image-20221026104023462

复现过程

访问以下url

1
http://192.168.3.50:7001/ws_utc/config.do

修改Work Home Dir路径

1
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

将目录设置为ws_utc应用的静态文件css目录,访问这个目录是无需权限的,这一点很重要。然后点击保存。

image-20221026104530589

image-20221026104520523

点击左侧安全,上传文件。

image-20221026104633608

image-20221026104823756

抓到数据包,时间戳为:1666752396181

image-20221026104700254

访问http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名],即可执行webshell。

1
http://192.168.3.50:7001/ws_utc/css/config/keystore/1666752396181_1.jsp

image-20221026104954356

image-20221026105009140

image-20221026105021157

修复建议

1、关闭web服务测试页,或者为/ws_utc/config.do页面添加访问权限控制。

2、升级至官方最新版本。

3、使用Oracle官方通告中的补丁链接:

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

https://support.oracle.com/rs?type=doc&id=2394520.1