CVE-2018-2894 weblogic任意文件上传漏洞
2018年7月19日,CNCERT发出漏洞预警,weblogic存在远程代码执行高危漏洞,本质上为任意文件上传漏洞,有两处上传点:
/ws_utc/config.do
/ws_utc/begin.do影响版本:10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。
漏洞作者就是我的小基友,所以我 来尝试复现下(主要是因为CVE-2018-2893搞了很久,复现不出来,哭)
复现过程
先在本地搭好环境,我这里使用了12.2.1.2
按照提示,weblogic server的管理地址就是http://localhost:7001/console,漏洞预警说不用认证就可以上传文件,我们直接访问其中一个上传点试试
http://localhost:7001/ws_utc/config.do,页面提示自动部署,然后就进入了配置页面。
更改当前的工作目录
想要复现这个漏洞,必须先进行 更改当前的工作目录 这一步,原因是因为上传后的文件会保存在临时的工作目录,也就是当前的工作目录对应的物理路径。如果不更改这个目录,我们在访问上传之后的文件时,系统会提示找不到该文件。(0_0)我说为什么一直复现不了..
必须要将当前的工作目录更改成合适的目录才能让应用访问到我们上传的文件
什么目录合适呢,因为weblogic就部署在我们本地,所以我们可以从容的来找一找。
记得在访问ws_utc/config.do时,页面有提示自动部署,所以找一找安装目录下面的有没有哪些文件夹有web应用部署的文件结构,比如WEB-INF,webapp,.war文件等等。
好了,搜索下WEB-INF,我们发现有几处
D:\install\weblogic_12.2.1.2.0\wls12212\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls\4mcj4y\war\WEB-INF
D:\install\weblogic_12.2.1.2.0\wls12212\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\consoleapp\z97wi8\.tld_cache\WEB-INF
D:\install\weblogic_12.2.1.2.0\wls12212\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\consoleapp\fl21lb\console-ext\jolt\WEB-INF
D:\install\weblogic_12.2.1.2.0\wls12212\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\consoleapp\fl21lb\console-ext\core-connector\WEB-INF
...每一个路径都跟进去,发现只有D:\install\weblogic_12.2.1.2.0\wls12212\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls\4mcj4y\war最像我们访问的应用部署的位置,尝试一下,将工作目录改成
D:\install\weblogic_12.2.1.2.0\wls12212\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls\4mcj4y\war\
上传文件
左边安全栏,可以添加JKS keystores,这里可以上传任意文件,注意这一步抓下包,找到返回的时间戳,因为它跟我们上传文件的文件名有关系
访问上传的文件
上传成功后,直接访问
http://localhost:7001/ws_utc/config/keystore/时间戳_文件名上传文件没有什么好说的,需要注意的就是更改工作目录这一步,由于不知道上传的路径不是应用程序部署的位置,导致上传成功之后一直访问不到上传的文件
