漏洞复现——weblogic任意文件上传（cve-2018-2894）

漏洞简介：

Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞，进而获取服务器权限。

Oracle 7月更新中，修复了Weblogic Web Service Test Page中一处任意文件上传漏洞，Web Service Test Page 在“生产模式”下默认不开启，所以该漏洞有一定限制。两个页面分别为/ws_utc/begin.do、/ws_utc/config.do。

1    影响版本：

weblogic 10.3.6.0

weblogic 12.1.3.0

weblogic 12.2.1.2

weblogic 12.2.1.3

2   修复建议：

设置config.do,begin.do页面登录授权后访问；

IPS等防御产品可以加入相应的特征；

升级到官方的最新版本；

环境搭建：

1   docker安装

01   docker简介：

Docker 是一个开源的应用容器引擎，它将应用程序与该程序的依赖，打包在一个文件里面。运行这个文件，就会生成一个虚拟容器。程序在这个虚拟容器里运行，就好像在真实的物理机上运行一样。有了Docker，就不用担心环境问题。

Docker时Docker.Lnc公司开源的一个基于LXC技术之上搭建的Container容器引擎，源代码托管在Github上，基于Go语言并遵从Apache2.0协议开源。

02   docker安装命令

apt-get install docker docker-compose（之前已安装过，此命令也可作为更新）

 

 

 03   启动docker并查看状态

service docker start

Service docker status

 

 

 2   Vulhub

01   vulhub简介：

Vulhub是一个基于docker和docker-compose的漏洞环境集合，进入对应目录并执行一条语句即可启动一个全新的漏洞环境

(docker-compose是用python写的一个一个docker容器管理工具，可以一键启动多个容器)

02   vulhub安装命令

git clone https://github.com/vulhub/vulhub.git

 

 

 查看vulhub

 

  漏洞复现：

1   启动docker

 

  2   进入vulhub/weblogic/CVE-2018-2894/目录下

 

  3   启动漏洞靶场：docker-compose up –d

 

  4   浏览器weblogic控制台：http://your-ip:7001/console

 

  5     本地日志查看登录用户名密码：

 

  6     登录以后在basedomain的设置/高级/中开启“启用 Web 服务测试页”，然后保存。

 

 

  

  7   访问http://your-ip:7001/ws_utc/config.do

通用模块：

01   Work home dir：

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

02   http proxy host: ws_utc

03   http proxy port:80

04   提交

 

 

 安全模块：

01   点击添加

02   随意设置keystone名字

03   上传提权文件

 

  04    点击提交使用burpsuite抓包，获取时间戳。

 

  8   访问http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]执行webshell

 

  9    输入大马里面密码进行登录。

 

  10  执行命令。

 

  

  

  11  漏洞利用以后清除靶场环境（复现其他漏洞要清除上一个环境）。

       docker-compose down

 

  12  实验结束