首页 网站资讯网站教程正文

Weblogic漏洞之弱口令、任意文件读取、上传shell

2019-01-04 648 weblogic弱口令shell

弱口令

环境启动后,访问http://192.168.1.15:7001/console/login/LoginForm.jsp,即为weblogic后台。
本环境存在弱口令可以直接登录:

weblogic
Oracle@123
Weblogic漏洞之弱口令、任意文件读取、上传shell  weblogic 弱口令 shell 第1张
weblogic常用弱口令:
`1. Oracle - WebLogic
Method HTTP
User ID system
Password password
Level Administrator
Doc
Notes Login located at /console

  1. Oracle - WebLogic
    Method HTTP
    User ID weblogic
    Password weblogic
    Level Administrator
    Doc
    Notes Login located at /console

  2. Oracle - WebLogic
    Version 9.0 Beta (Diablo)
    User ID weblogic
    Password weblogic
    Doc

  3. Oracle - WebLogic Process Integrator
    Version 2.0
    User ID admin
    Password security
    Doc

  4. Oracle - WebLogic Process Integrator
    Version 2.0
    User ID joe
    Password password
    Doc

  5. Oracle - WebLogic Process Integrator
    Version 2.0
    User ID mary
    Password password
    Doc

  6. Oracle - WebLogic Process Integrator
    Version 2.0
    User ID system
    Password security
    Doc

  7. Oracle - WebLogic Process Integrator
    Version 2.0
    User ID wlcsystem
    Password wlcsystem
    Doc

  8. Oracle - WebLogic Process Integrator
    Version 2.0
    User ID wlpisystem
    Password wlpisystem
    Doc

任意文件读取漏洞的利用

假设不存在弱口令,如何对weblogic进行渗透?
本环境前台模拟了一个任意文件下载漏洞,访问http://192.168.1.15:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件。
Weblogic漏洞之弱口令、任意文件读取、上传shell  weblogic 弱口令 shell 第2张
那么,该漏洞如何利用?
读取后台用户密文与密钥文件
weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml,在本环境中为./security/SerializedSystemIni.dat和./config/config.xml(基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain)。
密钥获取
SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,右键copy to file就可以保存成一个文件:
Weblogic漏洞之弱口令、任意文件读取、上传shell  weblogic 弱口令 shell 第3张
密文获取
config.xml是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的的值,即为加密后的管理员密码,不要找错了:
Weblogic漏洞之弱口令、任意文件读取、上传shell  weblogic 弱口令 shell 第4张
解密密文
Weblogic漏洞之弱口令、任意文件读取、上传shell  weblogic 弱口令 shell 第5张
可见,解密后和预设的密码一致,说明成功。

后台上传webshell

获取到管理员密码后,登录后台。点击锁定并编辑
Weblogic漏洞之弱口令、任意文件读取、上传shell  weblogic 弱口令 shell 第6张
点击左侧的部署,可见一个应用列表:
Weblogic漏洞之弱口令、任意文件读取、上传shell  weblogic 弱口令 shell 第7张
点击安装,选择“上载文件”:
Weblogic漏洞之弱口令、任意文件读取、上传shell  weblogic 弱口令 shell 第8张
上传war包。值得注意的是,我们平时tomcat用的war包不一定能够成功,你可以将你的webshell放到本项目的web/hello.war这个压缩包中,再上传。上传成功后点下一步。

填写应用名称:
Weblogic漏洞之弱口令、任意文件读取、上传shell  weblogic 弱口令 shell 第9张
继续一直下一步,最后点完成。
Weblogic漏洞之弱口令、任意文件读取、上传shell  weblogic 弱口令 shell 第10张

最后访问执行shell:
http://192.168.1.15:7001/test3693/


1:如非特殊说明,本站对提供的源码不拥有任何权利,其版权归原著者拥有。

2:请勿将该源码、软件进行商业交易、转载等行为,该源码、软件只为研究、学习所提供,该软件使用后发生的一切问题与本站无关。

3:本网站所有源码和软件均为作者提供和网友推荐收集整理而来,仅供学习和研究使用。如有侵犯你版权的,请来信(邮箱:milixiaowu@vip.qq.com)指出,本站将立即改正。

通知:原价188年费会员降价100,只需88即可购买,活动即将结束!

点击购买

×
M