vulhub weblogic CVE-2018-2894

1、 搭建好靶场，按提示访问 http://192.168.137.157:7001/console

按照给出的文档，会查看容器的日志，找到管理员用户名/密码为 weblogic / h3VCmK2L，暂时用不到，不需要登录

2、未授权访问，http://192.168.137.157:7001/ws_utc/config.do，这里存在一个任意文件上传的接口

没有做其他操作，主要我好奇它把文件上传到哪去了

/u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir/config/keystore/1685608640016_ma.jsp

可以看到，上传文件被重命名了，加了一串前缀字符，抓包之后发现是时间戳，从响应包中可以得到，至此文件名已被掌控，关键还有一个路径怎么解决？
下划线部分的这个路径在网站中也是可以自定义的

设置Work Home Dir为 /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css 。这个目录是ws_utc应用的静态文件css目录，访问这个目录是无需权限的，这一点很重要。

与css同级的目录：META-INF WEB-INF css images js
我试了一下，images目录也可以用，js目录不行

访问 http://192.168.137.157:7001/ws_utc/images/config/keystore/1685608640016_ma.jsp?pwd=666&&i=whoami

总结

上传的所有文件全路径格式都是/u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir/config/keystore/时间戳_filename.jsp

但是在 http://192.168.137.157:7001/ws_utc/config.do设置当前工作目录Work Home Dir之后，上传文件的路径没有改变，却能够访问了

写的很浅，具体的漏洞原理我还没有去看，有时间补

利用路径：/ws_utc/[Work Home Dir设置的目录的最后一级目录名]/config/keystore/时间戳_filename.jsp