vulhub 웹로직 CVE-2018-2894
1. 촬영 범위를 설정하고 안내에 따라 액세스합니다. http://192.168.137.157:7001/console
주어진 문서에 따르면 컨테이너의 로그를 확인하고 관리자 사용자 이름/비밀번호가 weblogic / h3VCmK2L 이며 일시적으로 사용되지 않으며 필요하지 않습니다. 로그인하기
2. 무단 접근, http://192.168.137.157:7001/ws_utc/config.do
, 별도의 조작 없이 아무 파일이나 업로드할 수 있는 인터페이스가 있는데 주로 /u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir/
파일을 어디에 업로드하는지 궁금합니다.
설정/키스토어/1685608640016_ma.jsp
업로드된 파일의 이름이 변경되고 접두사 문자열이 추가된 것을 볼 수 있습니다.패킷을 캡처한 후 응답 패킷에서 얻을 수 있는 타임스탬프임을 알 수 있습니다.지금까지 파일 이름은 통제되고 있습니다. 열쇠는 여전히 경로입니다. 해결 방법은 무엇입니까?
밑줄 친 부분의 경로도 웹사이트에서 사용자 정의할 수 있습니다.
직장 홈 디렉터리를 로 설정합니다 /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
. 이 디렉토리는 ws_utc 응용 프로그램의 정적 파일 css 디렉토리이며 이 디렉토리에 무단으로 접근하는 것은 매우 중요합니다.
css와 같은 레벨의 디렉토리: META-INF WEB-INF css images js
해봤더니 images 디렉토리도 쓸 수 있는데 js 디렉토리는 안되네요.
입장http://192.168.137.157:7001/ws_utc/images/config/keystore/1685608640016_ma.jsp?pwd=666&&i=whoami
요약하다
업로드된 모든 파일의 전체 경로 형식은 /u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir/ 입니다.config/keystore/timestamp_filename.jsp
하지만 http://192.168.137.157:7001/ws_utc/config.do에서 현재 작업 디렉토리인 Work Home Dir을 설정한 후 업로드된 파일의 경로는 변경되지 않았지만 액세스할 수 있습니다.
글이 너무 얕아요 허점의 구체적인 원리를 읽지 못해서 시간이 좀 남아요
활용 경로: /ws_utc/[Work Home Dir에서 설정한 디렉터리의 마지막 디렉터리 이름]/config/keystore/timestamp_filename.jsp