0x01漏洞介紹
-
Weblogic管理端未授權的兩個頁面存在任意上傳jsp文件漏洞,進而獲取服務器權限。
-
兩個頁面分別爲
/ws_utc/begin.do /ws_utc/config.do。
0x02利用條件
- 需要知道部署應用的web目錄
- ws_utc/config.do在開發模式下無需認證,在生產模式下需要認證。
0x03影響版本
- Weblogic 10.3.6.0
- Weblogic 12.1.3.0
- Weblogic 12.2.1.2
- Weblogic 12.2.1.3
0x04環境搭建
vmware15.5pro
ubuntu 16.04-vulhub
cd vulhub-master/weblogic/CVE-2018-2894
docker-compose up -d
docker-compose logs | grep password
'weblogic' admin password: elt4qTZb
weblogic_1 | admin password : [elt4qTZb]
0x05漏洞復現
第一步 :訪問網站
http://192.168.232.130:7001/console/login/LoginForm.jsp
第二步:進入之後,單擊base_domain-高級-啓動web服務測試頁,最後保存配置。
第三步:更改Work Home Dir的路徑
目錄設置爲ws_utc應用的靜態文件css目錄,訪問這個目錄是無需權限的,
http://192.168.232.130:7001/ws_utc/login.do
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
第四步: 上傳jsp文件
點擊安全-添加-選擇文件,名字和密碼任意(選擇文件即爲木馬)
第五步 通過文件路徑,查看上傳的jsp木馬
通過查看源代碼,發現是時間戳命名來保存文件
0x06漏洞修復
1.設置config.do,begin.do頁面登錄授權後訪問;
2、 IPS等防禦產品可以加入相應的特徵;
3、 升級到官方的最新版本[http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html]
4、進入Weblogic Server管理控制檯;---->domain設置中,啓用”生產模式”,如圖:
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-ymPOUXxT-1590393194068)(images\10.jpg)]
Weblogic Server管理控制檯;---->domain設置中,啓用”生產模式”,如圖:
摘抄
無論什麼事, 鞠躬盡瘁,均有限度,只能做到這樣; 如果還不夠好,也只得作罷; 怎可任人搓圓揉扁,尊嚴蕩然無存; 量力而爲最好。 ------亦舒《隨心》