WebLogic 任意文件上传复现(CVE-2018-2894)

2019-10-30 7,554

简介

Weblogic存在存在两处任意文件上传, 两个页面分别为/ws_utc/begin.do/ws_utc/config.do

漏洞影响版本:10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3

环境搭建

服务器采用CentOS7的系统,使用vulhub进行环境搭建( https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2017-10271 ),服务器端开放的端口为7001,访问后出现如下404页面说明weblogic正常搭建。

image-20191028141905541image-20191028141905541image-20191028141905541image-20191028141905541image-20191028141905541image-20191028141905541image-20191028141905541.png

找到服务器在安装时候给的密码image-20191030104702043

image-20191030104702043.png

根据vulhub的说明进行配置:

环境启动后,访问http://your-ip:7001/console,即可看到后台登录页面。

登录后台页面,点击base_domain的配置,在“高级”中开启“启用 Web 服务测试页”选项:

image-20191030105243278image-20191030105243278.png

image-20191030105305674image-20191030105305674.png

image-20191030105320705.pngimage-20191030105320705

根据提示重启环境

漏洞复现

进入漏洞页面: /ws_utc/config.do,将Work Home Dir修改成目标目录,/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war,点击左边的Security,在此处上传jsp文件,此处的jsp文件使用 chybeta 制作的小型cmd马,上传后在返回包中找到回传的信息

image-20191030112556915image-20191030112556915.png

文件的路径即为config/keystore/1572405905450_cmder.jsp

访问 /ws_utc/config/keystore/1572405905450_cmder.jsp,复现失败

image.pngimage-20191030112828884

跳转到了登录页面,最后发现重新登录一下就可以了

image-20191030113125900image-20191030113125900.png

输入echo hello,发现是调用的cmd.exe,我这是Linux环境,但是根据报错信息,(假装)已经是复测成功了,就不进一步测试了。

image-20191030113220565image-20191030113220565.png

总结

及时打上官方补丁,晚一步服务器就是别人的肉鸡了,在复现的准备过程中将Weblogic服务开了一天,然后就被挂上挖矿的了。

image-20191030113828270.pngimage-20191030113828270

参考资料

https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2018-2894

https://paper.seebug.org/647/

https://xz.aliyun.com/t/2458

https://www.oracle.com/security-alerts/cpujul2018.html

本文作者:Dem0ns

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/116860.html

Tags:
评论  (0)
快来写下你的想法吧!

Dem0ns

文章数:3 积分: 5

https://github.com/nic329

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号