WEB漏洞攻防 - 文件上传漏洞 - 中间件类应用场景 - [VULHUB 靶机]Weblogic任意文件上传漏洞[CVE-2018-2894]

思考:在实际应用场景中，常规类的文件上传、CMS类的文件上传、编辑器的上传或者CTF比赛中的文件上传应用场景都有不同的差异;总结下来就是，文件上传不管是发现还是利用上都会根据产生层面而不同，常规类无资料的情况下采用常规思路测试，有资料的情况下直接参考资料进行即可。

同样的在一些中间件中也有文件上传功能，也会出现文件上传的漏洞。所以说我们在发现文件上传还是利用上面，都和该漏洞存在的层面有关。比如前面提到的 PHPCMS 是网站程序层面，Ueditor 是网站插件层面，而现在我们马上接触的 Weblogic 则是网站中间件层面。

现在我们启动一下 VULHUB 的 Weblogic 的靶机。[其实这个漏洞有点鸡肋，因为它的前提条件是需要登陆后台才可以利用，这里我们主要学习思路]

漏洞介绍:Weblogic任意文件上传漏洞[CVE-2018-2894]

Oracle 2018年7月更新中已经修复了Weblogic Web Service Test Page中一处任意文件上传漏洞，Web Service Test Page 在“生产模式”下默认不开启，所以该漏洞有一定限制。

利用该漏洞，可以上传任意jsp文件，进而获取服务器权限。

进入 VULHUB 环境,启动该靶机。

环境搭建好之后会出现一个 Weblogic 的后台控制端，登陆进去之后进行一番设置后就可以利用文件上传拿到控制权限。

靶机搭建好之后访问 http://your-ip:7001/console 访问到后台登陆界面。

执行 docker-compose logs | grep password 可查看管理员密码，管理员用户名为 weblogic 。

然后访问 http://your-ip:7001/ws_utc/config.do

设置 Work Home Dir 为 /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

这里设置目录 ws_utc 应用的静态文件 css 目录的原因是访问这个目录是无需权限的，这一点很重要。

上传的同时开启Burp抓包，利用 Repeater 模块重放，获取上传文件后的时间戳。

然后访问http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]，即可拿到webshell

完美！完美！完美！

综合以上三个简单的案例，我们都是按照资料进行傻瓜式的操作获得webshell的，该三个场景我们都是拿来主义直接利用网上已经公开的直接可行的方法。[前人已经踩过坑了，只需要知道碰上同样的情况，按照资料直接利用就好。]

我们可以发现该三个场景分别在 网站程序、网站插件、网站中间件都存在不同的文件上传漏洞利用场景，所以在漏洞发现的层面也是有所区别的。【常规类无资料的情况下采用常规思路测试，有资料的情况下直接参考资料进行即可】

碰上实际环境的时候，根据不同的环境使用不同的思路。善于利用前人复现漏洞的关键点！