12.Weblogic 弱口令 && 後臺getshell漏洞

利用docker環境模擬了一個真實的weblogic環境，其後臺存在一個弱口令，而且前臺存在任意文件讀取漏洞。

分別經過這兩種漏洞，模擬對weblogic場景的滲透。

Weblogic版本：10.3.6(11g)

Java版本：1.6

 

弱口令

環境啓動後，訪問 http://192.168.0.132:7001/console 便可跳轉到Weblogic後臺登錄頁面：

本環境存在弱口令：

用戶名：weblogic

密碼：Oracle@123

weblogic經常使用弱口令： http://cirt.net/passwords?criteria=weblogic

任意文件讀取漏洞的利用

假設不存在弱口令，如何對weblogic進行滲透？

本環境前臺模擬了一個任意文件下載漏洞，訪問 http://192.168.0.132:7001/hello/file.jsp?path=/etc/passwd

可見成功讀取passwd文件。那麼，該漏洞如何利用？

讀取後臺用戶密文與密鑰文件

weblogic密碼使用AES（老版本3DES）加密，對稱加密可解密，只須要找到用戶的密文與加密

時的密鑰便可。這兩個文件均位於base_domain下，名爲SerializedSystemIni.dat和config.xml，

在本環境中爲./security/SerializedSystemIni.dat和./config/config.xml（基於當前目錄/root/Oracle/Middleware/user_projects/domains/base_domain）。

SerializedSystemIni.dat是一個二進制文件，因此必定要用burpsuite來讀取，

用瀏覽器直接下載可能引入一些干擾字符。在burp裏選中讀取到的那一串亂碼，右鍵copy to file就能夠保存成一個文件：

config.xml是base_domain的全局配置文件，因此亂七八糟的內容比較多，找到其中的

<node-manager-password-encrypted>的值，即爲加密後的管理員密碼，不要找錯了：

 

解密密文

而後使用大佬們寫的解密工具：

可見，解密後和我預設的密碼一致，說明成功。

這裏貼出工具連接：連接：https://pan.baidu.com/s/1fHdJSJMJ6qHGhvEoITMpVA
提取碼：yoy2

後臺上傳webshell

獲取到管理員密碼後，登陸後臺。點擊左側的部署，可見一個應用列表：

點擊安裝，選擇「上載文件」，上傳war包。值得注意的是，咱們平時tomcat用的war包不必定可以成功，

你能夠將你的webshell放到本項目的 web/hello.war這個壓縮包中，再上傳。上傳成功後點下一步。

填寫應用名稱：

繼續一直下一步，最後點完成。

應用目錄在war包中WEB-INF/weblogic.xml裏指定（由於本測試環境已經使用了/hello這個目錄，因此你要在本測試

環境下部署shell，須要修改這個目錄，好比修改爲/bmjoker）：

 

上傳部署war包成功後便可訪問大馬

成功獲取webshell

 

提示與技巧：

1.經過上述步驟上傳的木馬默認是保存在/root/Oracle/Middleware/user_projects/domains/weblogic/servers/AdminServer/upload

2.war包製做方法jar -cvf test.war ./test/*

3.本次使用的jsp馬來自：https://www.webshell.cc/4422.html