漏洞说明
-
Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,可直接获取服务器权限。
-
两个页面
-
/ws_utc/begin.do
-
/ws_utc/config.do
-
-
-
Oracle 在2018年7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,
-
Web Service Test Page 在'生产模式' 下默认不开启,所以该漏洞有一定限制。
-
漏洞复现过程
-
使用vulhub进行漏洞复现
-
环境启动后,访问 http://192.168.1.13:7001/console ,即可看到后台登录页面。
-
-
-
执行 docker compose logs | grep password 可查看管理员密码,管理员用户名为 weblogic
-
-
-
-
访问 http://192.168.0.27:7001/ws_utc/config.do ,设置Work Home Dir为 /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css 。
-
我将目录设置为ws_utc 应用的静态文件css目录,访问这个目录是无需权限的,这一点很重要。
-
-
点击提交
-
然后点击安全 -> 增加,然后上传webshell:
-
-
上传成功 抓包 查看id
-
-
访问地址: http://192.168.1.13:7001/ws_utc/css/config/keystore/1731335082352_1.php
-
这样就访问webshell目录成功就可以
-
导致一个文件上传漏洞得导致 获取到getshell
-
-
自己去玩玩吧搭建一个靶场