Weblogic漏洞之弱口令、任意文件读取、上传shell

弱口令

环境启动后，访问http://192.168.1.15:7001/console/login/LoginForm.jsp，即为weblogic后台。
本环境存在弱口令可以直接登录：

weblogic
Oracle@123
![](https://img-blog.csdnimg.cn/20181209180931207.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI5NjQ3NzA5,size_16,color_FFFFFF,t_70)
weblogic常用弱口令：
`1.  Oracle - WebLogic
Method	HTTP
User ID	system
Password	password
Level	Administrator
Doc	
Notes	Login located at /console

2.  Oracle - WebLogic
Method	HTTP
User ID	weblogic
Password	weblogic
Level	Administrator
Doc	
Notes	Login located at /console

3.  Oracle - WebLogic
Version	9.0 Beta (Diablo)
User ID	weblogic
Password	weblogic
Doc

4.  Oracle - WebLogic Process Integrator
Version	2.0
User ID	admin
Password	security
Doc

5.  Oracle - WebLogic Process Integrator
Version	2.0
User ID	joe
Password	password
Doc

6.  Oracle - WebLogic Process Integrator
Version	2.0
User ID	mary
Password	password
Doc

7.  Oracle - WebLogic Process Integrator
Version	2.0
User ID	system
Password	security
Doc

8.  Oracle - WebLogic Process Integrator
Version	2.0
User ID	wlcsystem
Password	wlcsystem
Doc

9.  Oracle - WebLogic Process Integrator
Version	2.0
User ID	wlpisystem
Password	wlpisystem
Doc

任意文件读取漏洞的利用

假设不存在弱口令，如何对weblogic进行渗透？
本环境前台模拟了一个任意文件下载漏洞，访问http://192.168.1.15:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件。
![](https://img-blog.csdnimg.cn/20181209181914443.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI5NjQ3NzA5,size_16,color_FFFFFF,t_70)
那么，该漏洞如何利用？
读取后台用户密文与密钥文件
weblogic密码使用AES（老版本3DES）加密，对称加密可解密，只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下，名为SerializedSystemIni.dat和config.xml，在本环境中为./security/SerializedSystemIni.dat和./config/config.xml（基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain）。
密钥获取
SerializedSystemIni.dat是一个二进制文件，所以一定要用burpsuite来读取，用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码，右键copy to file就可以保存成一个文件：
![](https://img-blog.csdnimg.cn/20181209182204964.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI5NjQ3NzA5,size_16,color_FFFFFF,t_70)
密文获取
config.xml是base_domain的全局配置文件，所以乱七八糟的内容比较多，找到其中的的值，即为加密后的管理员密码，不要找错了：
![](https://img-blog.csdnimg.cn/20181209182351750.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI5NjQ3NzA5,size_16,color_FFFFFF,t_70)
解密密文
![](https://img-blog.csdnimg.cn/20181209185438283.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI5NjQ3NzA5,size_16,color_FFFFFF,t_70)
可见，解密后和预设的密码一致，说明成功。

后台上传webshell

获取到管理员密码后，登录后台。点击锁定并编辑
![](https://img-blog.csdnimg.cn/2018120919341770.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI5NjQ3NzA5,size_16,color_FFFFFF,t_70)
点击左侧的部署，可见一个应用列表：
![](https://img-blog.csdnimg.cn/20181209190602112.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI5NjQ3NzA5,size_16,color_FFFFFF,t_70)
点击安装，选择“上载文件”：
![](https://img-blog.csdnimg.cn/20181209190841157.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI5NjQ3NzA5,size_16,color_FFFFFF,t_70)
上传war包。值得注意的是，我们平时tomcat用的war包不一定能够成功，你可以将你的webshell放到本项目的web/hello.war这个压缩包中，再上传。上传成功后点下一步。

填写应用名称：
![](https://img-blog.csdnimg.cn/20181209191222261.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI5NjQ3NzA5,size_16,color_FFFFFF,t_70)
继续一直下一步，最后点完成。
![](https://img-blog.csdnimg.cn/20181209193539921.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI5NjQ3NzA5,size_16,color_FFFFFF,t_70)

最后访问执行shell：
http://192.168.1.15:7001/test3693/

已有 2 条评论

Ta的最新文章

最近评论

标签大全

阅读目录