CVE-2018-2894

影响范围：

• Oracle WebLogic Server: 12.1.3.0.0

• Oracle WebLogic Server: 12.2.1.2.0

• Oracle WebLogic Server: 12.2.1.3.0

漏洞类型：

任意文件上传

操作系统限制：

无

配置要求：

• 端口7001对外开放

• WebLogic管理控制台勾选启用测试服务

漏洞利用：

文件上传

利用原理：

WebLogic包含一个用于测试Web服务的组件wls-testclient，攻击者无需登录管理控制台直接访问/ws_utc/config.do，该页面允许用户设置工作目录，且缺乏权限校验，攻击者可以将路径篡改到WebLogic的Web公开目录，修改完路径后，攻击者可以上传恶意jsp文件，文件名为系统时间戳_文件名.jsp，该文件可以通过HTTP协议直接被外界请求并触发执行，通过木马可以获取服务器控制权

漏洞复现：

现成的vulhub来拉取镜像

#下载vulhub源代码
git clone https://github.com/vulhub/vulhub.git
#进入漏洞目录
cd vulhub/weblogic/CVE-2018-2894
#拉取镜像
docker-compose up -d

查看管理后台密码

docker-compose logs | grep password

访问http://靶机ip:7001/console/login/LoginForm.jsp，并输入密码登录

进入后台

点击base_domain，接着点击高级

启用web服务测试页并保存

访问http://靶机ip:7001/ws_utc/config.do，并设置Work Home Dir

#手动设置并提交
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

点击安全，点击添加，名字密码随便填，文件选择jsp木马文件，可以用哥斯拉生成的jsp

用burpsuite抓取提交的数据包

发送到Repeater模块

发送后记录时间戳，即id

访问http://靶机ip:7001/ws_utc/css/config/keystore/文件名，文件名字为时间戳_文件名.jsp，可以正常访问

使用哥斯拉连接，url即上面地址，有效载荷改JavaDynamicPayload

测试连接为成功，点击添加

进入

成功getshell