本文已参与「新人创作礼」活动，一起开启掘金创作之路。

weblogic 任意文件上传漏洞复现（CVE-2018-2894）

WebLogic管理端页面/ws_utc/begin.do、/ws_utc/config.do下可上传任意getshell

vulhub的docker环境

需要知道部署应用的web目录

ws_utc/config.do在开发模式下无需认证

Oracle WebLogic Server，版本 12.1.3.0, 12.2.1.2, 12.2.1.3

根据提示输入用户名密码（docker-compose logs | grep password），进入后台

登录后台页面，点击base_domain的配置，在“高级”中开启“启用 Web 服务测试页”选项，并保存

更换当前工作目录为：

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

我将目录设置为ws_utc应用的静态文件css目录，访问这个目录是无需权限的，以便后面上传文件成功后可以正常访问到

在左侧选择安全

上传asp的webshell时使用bp抓包获取时间戳 1616923859920

然后访问/ws_utc/css/config/keystore/[时间戳]_[文件名]

上传并成功访问到

使用冰蝎成功连接

参考