Weblogic 常规渗透测试环境


Weblogic 常规渗透测试环境

测试环境

本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。

Weblogic版本:10.3.6(11g)

Java版本:1.6

弱口令

环境启动后,访问http://your-ip:7001/console,即为 weblogic 后台。

本环境存在弱口令:

weblogic

Oracle@123

weblogic常用弱口令: http://cirt.net/passwords?criteria=weblogic

任意文件读取漏洞的利用

假设不存在弱口令,如何对 weblogic 进行渗透?

本环境前台模拟了一个任意文件下载漏洞,访问http://your-ip:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件。那么,该漏洞如何利用?

读取后台用户密文与密钥文件

weblogic 密码使用 AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于 base_domain 下,名为SerializedSystemIni.dat和config.xml ,在本环境中为 ./security/SerializedSystemIni.dat./config/config.xml(基于当前目录 /root/Oracle/Middleware/user_projects/domains/base_domain )。

SerializedSystemIni.dat 是一个二进制文件,所以一定要用 burpsuite 来读取,用浏览器直接下载可能引入一些干扰字符。在 burp 里选中读取到的那一串乱码,右键 copy to file 就可以保存成一个文件:

config.xmlbase_domain 的全局配置文件,所以乱七八糟的内容比较多,找到其中的 <node-manager-password-encrypted> 的值,即为加密后的管理员密码:

解密密文

然后使用本环境的 decrypt 目录下的 weblogic_decrypt.jar,解密密文:

后台上传webshell

获取到管理员密码后,登录后台。点击左侧的部署,可见一个应用列表:

点击安装,选择“上载文件”:

上传 war 包。值得注意的是,我们平时 tomcat 用的 war 包不一定能够成功,你可以将你的 webshell 放到本项目的 web/hello.war 这个压缩包中,再上传。上传成功后点下一步。

填写应用名称:

继续一直下一步,最后点完成。

应用目录在 war 包中 WEB-INF/weblogic.xml 里指定(因为本测试环境已经使用了 /hello 这个目录,所以你要在本测试环境下部署 shell,需要修改这个目录,比如修改成 /shell):

成功获取 webshell:


文章作者: Geekby
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Geekby !
 上一篇
Weblogic SSRF漏洞 Weblogic SSRF漏洞
Weblogic SSRF漏洞Weblogic 中存在一个 SSRF 漏洞,利用该漏洞可以发送任意 HTTP 请求,进而攻击内网中 redis、fastcgi 等脆弱组件。 漏洞复现SSRF 漏洞存在于 http://your-ip:700
2019-03-01
下一篇 
Webmin 远程命令执行漏洞 Webmin 远程命令执行漏洞
Webmin 远程命令执行漏洞(CVE-2019-15107)Webmin 是一个用于管理类 Unix 系统的管理配置工具,具有 Web 页面。在其找回密码页面中,存在一处无需权限的命令注入漏洞,通过这个漏洞攻击者即可以执行任意系统命令。
2019-03-01
  目录