标签：utc do 2894 Weblogic weblogic 2018 ws config 页面

漏洞描述

Weblogic管理端未授权的两个页面存在任意文件上传漏洞，通过这两个页面可以获取到服务器权限。这两个页面分别是/ws_utc/begin.do，/ws_utc/config.do。利用这两个页面可以上传任意jsp文件,从而获取到服务器权限。

漏洞影响范围

Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3

漏洞利用条件

需要知道部署应用的web目录； ws_utc/config.do在开发模式下无需认证，在生产模式下需要认证。

漏洞复现

靶场环境为：vulhub weblogic CVE-2018-2894 使用docker-compose logs | grep password命令查看管理员用户名和密码 访问http://192.168.116.133:7001/console，进入后台管理员登录界面，使用管理员用户名、密码进行登录。用户名为weblogic 登录后台页面，点击base_domain的配置，在“高级”中勾选‘启用web服务测试页’选项，然后保存配置。 访问http://192.168.116.133:7001/ws_utc/config.do，设置Work Home DIR的值为

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

访问这个目录是无需权限的，这一点很重要 然后点击 ‘安全’ -> ‘添加’ ，然后上传jsp大马或者上传cmd马。 F12，审查元素，查看时间戳为1648023588544，文件名为test.jsp。 访问http://your_ip:7001/ws_utc/css/config/keystore/时间戳_文件名，即可执行webshell。 菜刀、蚁剑、冰蝎连接即可。

漏洞防御

升级到官方的最新版本 设置config.do,begin.do页面登录授权后访问

标签：utc,do,2894,Weblogic,weblogic,2018,ws,config,页面
From： https://www.cnblogs.com/pursue-security/p/17029519.html