跳转至

T1190-CVE-2018-2894-Weblogic任意文件上传检测

来自ATT&CK的描述

使用软件,数据或命令来利用面向Internet的计算机系统或程序中的弱点,从而导致意外或无法预期的行为。系统的弱点可能是错误、故障或设计漏洞。这些应用程序通常是网站,但是可以包括数据库(例如SQL),标准服务(例如SMB 或SSH)以及具有Internet可访问开放的任何其他应用程序,例如Web服务器和相关服务。根据所利用的缺陷,这可能包括“利用防御防卫”。

如果应用程序托管在基于云的基础架构上,则对其进行利用可能会导致基础实际应用受到损害。这可以使攻击者获得访问云API或利用弱身份和访问管理策略的路径。

对于网站和数据库,OWASP排名前10位和CWE排名前25位突出了最常见的基于Web的漏洞。

测试案例

Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。

Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制。两个页面分别为/ws_utc/begin.do、/ws_utc/config.do。

漏洞影响范围:

weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。

检测日志

HTTP.log

测试复现

漏洞利用建议参考:

Weblogic任意文件上传漏洞(CVE-2018-2894)复现

https://blog.csdn.net/weixin_43625577/article/details/97001677

测试留痕

暂无实测,故无留痕。直接引用漏洞利用建议参考中的案例数据进行特征提取。

检测规则/思路

Sigma规则

建议使用HTTP流量+安全设备进行检测分析判断攻击是否成功。

title: Oracle WebLogic漏洞利用Z
description: 检测对放入WebLogic服务器上密钥库文件夹中的webshell的访问
author: Florian Roth
translator: 12306Bro
date: 2018/07/22
modified: 2020/03/14
status: experimental
references:
    - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2894
    - https://blog.csdn.net/weixin_43625577/article/details/97001677
logsource:
    category: webserver
detection:
    selection:
        c-uri:
            - '*/config/keystore/*.js*'
    condition: selection
fields:
    - c-ip
    - c-dns
falsepositives:
    - Unknown
level: critical

建议

暂无

参考推荐

MITRE-ATT&CK-T1190

https://attack.mitre.org/techniques/T1190/

Weblogic任意文件上传漏洞(CVE-2018-2894)复现

https://blog.csdn.net/weixin_43625577/article/details/97001677