0x01 漏洞概述

Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。

0X02 漏洞版本

  1. 10.3.6.0
  2. 12.1.3.0
  3. 12.2.1.2
  4. 12.2.1.3

0x03 漏洞复现

  1. /vulhub/weblogic/CVE-2018-2894

1、开启WEB服务测试页

  1. http://192.168.0.140:7001/ws_utc/css/config/keystore/

Domain Partitons —> Advanced

CVE-2018-2894-FileUpload - 图1

CVE-2018-2894-FileUpload - 图2

记得保存设置!

2、设置工作目录

  1. http://192.168.0.140:7001/ws_utc/config.do
  1. /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

CVE-2018-2894-FileUpload - 图3

3、上传冰蝎马

Security —> Add

CVE-2018-2894-FileUpload - 图4

CVE-2018-2894-FileUpload - 图5

查看burp回显拼接文件名

CVE-2018-2894-FileUpload - 图6

  1. http://ip:prot/ws_utc/css/config/keystore/[时间戳]_[文件名]
  2. http://192.168.0.140:7001/ws_utc/css/config/keystore/1629302826845_shell.jsp

CVE-2018-2894-FileUpload - 图7