vulhub weblogic CVE-2018-2894
1、 搭建好靶场,按提示访问 http://192.168.137.157:7001/console
按照给出的文档,会查看容器的日志,找到管理员用户名/密码为 weblogic / h3VCmK2L,暂时用不到,不需要登录
2、未授权访问,http://192.168.137.157:7001/ws_utc/config.do,这里存在一个任意文件上传的接口
没有做其他操作,主要我好奇它把文件上传到哪去了
/u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir/config/keystore/1685608640016_ma.jsp
可以看到,上传文件被重命名了,加了一串前缀字符,抓包之后发现是时间戳,从响应包中可以得到,至此文件名已被掌控,关键还有一个路径怎么解决?
下划线部分的这个路径在网站中也是可以自定义的
设置Work Home Dir为 /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css 。这个目录是ws_utc应用的静态文件css目录,访问这个目录是无需权限的,这一点很重要。
与css同级的目录:META-INF WEB-INF css images js
我试了一下,images目录也可以用,js目录不行
访问 http://192.168.137.157:7001/ws_utc/images/config/keystore/1685608640016_ma.jsp?pwd=666&&i=whoami
总结
上传的所有文件全路径格式都是/u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir/config/keystore/时间戳_filename.jsp
但是在 http://192.168.137.157:7001/ws_utc/config.do设置当前工作目录Work Home Dir之后,上传文件的路径没有改变,却能够访问了
写的很浅,具体的漏洞原理我还没有去看,有时间补
利用路径:/ws_utc/[Work Home Dir设置的目录的最后一级目录名]/config/keystore/时间戳_filename.jsp