weblogic任意文件上传(CVE-2018-2894)

漏洞描述

Weblogic管理端未授权的两个页面存在任意文件上传漏洞，通过这两个页面可以获取到服务器权限。这两个页面分别是/ws_utc/begin.do，/ws_utc/config.do。利用这两个页面可以上传任意jsp文件,从而获取到服务器权限。

漏洞影响范围

Weblogic 10.3.6.0

Weblogic 12.1.3.0

Weblogic 12.2.1.2

Weblogic 12.2.1.3

漏洞利用条件

需要知道部署应用的web目录；

ws_utc/config.do在开发模式下无需认证，在生产模式下需要认证。

漏洞复现

靶场环境为：vulhub weblogic CVE-2018-2894

使用docker-compose logs | grep password命令查看管理员用户名和密码

访问http://192.168.116.133:7001/console，进入后台管理员登录界面，使用管理员用户名、密码进行登录。用户名为weblogic

登录后台页面，点击base_domain的配置，在“高级”中勾选‘启用web服务测试页’选项，然后保存配置。

访问http://192.168.116.133:7001/ws_utc/config.do，设置Work Home DIR的值为

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

访问这个目录是无需权限的，这一点很重要

然后点击 ‘安全’ -> ‘添加’ ，然后上传jsp大马或者上传cmd马。

F12，审查元素，查看时间戳为1648023588544，文件名为test.jsp。

访问http://your_ip:7001/ws_utc/css/config/keystore/时间戳_文件名，即可执行webshell。

菜刀、蚁剑、冰蝎连接即可。

漏洞防御

升级到官方的最新版本

设置config.do,begin.do页面登录授权后访问