Weblogic上传漏洞在不知绝对路径情况下拿shell方法

Part1 前言

大家好，我是ABC_123。Weblogic曾经爆出一个上传漏洞，漏洞编号是CVE-2018-2894，这个漏洞利用起来稍微有点麻烦，很多朋友由于不知道绝对路径而没法上传shell，从而放弃对其的进一步利用，ABC_123曾经搭环境尝试了各种方法去解决这个问题，接下来给出自己的研究成果。

建议大家把公众号“希潭实验室”设为星标，否则可能就看不到啦！因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法：点击右上角的【...】，然后点击【设为星标】即可。

Part2 技术研究过程

上传漏洞利用步骤及分析

首先复习一下weblogic上传漏洞利用过程，一般情况下，存在上传漏洞的页面是/ws_utc/config.do，在“Work Home Dir”处会自带一个绝对路径，一般是/u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir，然后可以结合上述路径更改为如下路径，接着上传jsp文件获取一个webshell。

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

上传成功之后，根据返回的网页源码，将jsp的webshell的时间戳与相对路径结合，就可以得到webshell的完整URL地址了。

但是我们经常遇到的情况是“当前的工作目录”是空的，或者是被其它攻击者给随意更改成错误的路径，导致不知道绝对路径导致上传webshell失败，那如何解决这个问题呢？

首先我们做一下尝试，将绝对路径更改为以servers/开头的相对路径，发现也是可以上传成功的。通过试验我们发现，此处仅需要知道servers/开头的相对路径即可，这在一定程度上，降低了getshell的难度。

servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css。

这里需要注意的是，上述路径中/AdminServer/在不同的weblogic安装环境中可能不一样的，它可能是/Server-0/或者/app_server1/，它可能是管理服务器名称，也可能是被管服务器(MS)名称。

路径中的/4mcj4y/值也不是固定的，它是由/AdminServer/结合另一个变量计算出来的，所以我们只需要知道/AdminServer/处的值就好办了。如下图所示，github上有很多通过当前weblogic服务器名称计算出该值的脚本程序。

IIOP协议获取相对路径

经过研究发现，如果目标weblogic端口的iiop协议开放的话，直接向iiop协议端口7001或者其它端口发送一个数据包，在返回数据包中就会有获取相对路径最关键的服务器实例名称（此处是AdminServer）。

知道了AdminServer这个值，就可以使用脚本计算出完整的相对路径了，就可以上传webshell了。

通过报错泄露路径

通过报错的方法，也可以不断获取完整的绝对路径，这种方法有时候能成功，有时候不能成功，我也没深入研究为什么。这个方法实测效果不太好，但是有时候可以作为探测目标绝度路径是否存在的一种方法。在“Work Home Dir”处填入“servers”，然后点击提交，会弹出一个报错页面，其中就会泄露一部分绝对路径。

XXE漏洞获取weblogic的绝对路径

经过仔细观察发现，此上传漏洞的编号是CVE-2018-2894，在CVE-2018-2894编号附近，有一个XXE漏洞CVE-2018-3246，因为两个漏洞编号相近，所以两个漏洞理论上会同时存在。因此如果目标环境出网的情况下，我们通过这个XXE漏洞获取到weblogic的路径，然后再利用上传漏洞获取webshell。