Weblogic见的越来越多,以至于,么得感情。。。
人生若只如初见,何事秋风悲画扇。。。
1、确定IP范围
关于weblogic刷洞第一步,首先要保证手头拥有大量的域名或IP,当然,你敢动全网当我没说,毕竟有号称扫全网只需6分钟的MASSCAN在那搁着呢,/手动滑稽
然而随着相关法律与政策的完善,各位小伙伴注意收敛。
关于这里的工具,简单说IP段转IP列表,域名转IP,这些不管是离线工具还是在线工具好多都可以做到。
额,这个没给准备准备专门的工具,好久前写的个拿不出手的小脚本,仅供参考。
https://github.com/rabbitmask/IPis
2、IP存活与端口开放检测
因为数据量较大,我们首先需要借助存活检测筛选一部分数据。
什么?不会?for循环ping到死。。。。。。。。
然后对存活的IP进行端口开放检测,这个大家根据需要检测常见端口还是全部端口,并不推荐nmap以及masscan之类的,因为,还是慢,这一步我们并不追求准确性,要求,就是快!
像这种扫描速度控制在1s以内的最佳,大家自行选择。
在完成这里后我们将会获得这么一份结果,请自行脑补,数据量极大:
127.0.0.1:135
127.0.0.1:445
127.0.0.1:7001
... ...
3、Weblogic模糊识别
这个之前写过一个多进程模糊识别工具,其实nmap具备weblogic的识别能力,但是效率极低,所以我们这里借助默认路径存活检测的方式对于大数据进行模糊识别。
我选择了以下路径进行检测,大家可根据需求增删:
/console/login/LoginForm.jsp
/wls-wsat/CoordinatorPortType
/_async/AsyncResponseService
/ws_utc/config.do
工具地址:https://github.com/rabbitmask/WhoIsWeblogic
工具介绍:
软件作者:Tide_RabbitMask
免责声明:Pia!(o ‵-′)ノ”(ノ﹏<。)
本工具仅用于安全测试,请勿用于非法使用,要乖哦~
WhoIsWeblogic 功能特色:
1.完善的超时处理机制
2.多进程任务高效并发
3.简洁直观的监控界面
4.健全的日志记录功能
5.健全的异常处理机制
WhoIsWeblogic 文件说明:
ipsource.txt:待读取目标
ipresult.txt:已识别目标
WhoIsWeblogic.log:运行日志
【软件使用Demo】
#WhoIsWeblogic控制台:
=========================================================================
当前站点:http://127.0.0.1:7001/console/login/LoginForm.jsp 状态码:200
当前站点:http://127.0.0.1:7001/wls-wsat/CoordinatorPortType 状态码:200
当前站点:http://127.0.0.1:7001/_async/AsyncResponseService 状态码:200
当前站点:http://127.0.0.1:7001/ws_utc/config.do 状态码:404
>>>>>任务结束
=========================================================================
#WhoIsWeblogic.log:
=========================================================================
2019-07-08 23:15:13,844 当前站点:http://127.0.0.1:7001/console/login/LoginForm.jsp 状态码:200
2019-07-08 23:15:13,858 当前站点:http://127.0.0.1:7001/wls-wsat/CoordinatorPortType 状态码:200
2019-07-08 23:15:13,865 当前站点:http://127.0.0.1:7001/_async/AsyncResponseService 状态码:200
2019-07-08 23:15:13,871 当前站点:http://127.0.0.1:7001/ws_utc/config.do 状态码:404
=========================================================================
#ipresult.txt:【Tips:ipresult.txt文件可直接被WeblogicScanLot调用。】
=========================================================================
127.0.0.1:7001
=========================================================================
存在误报吗?当然,其实还可以通过正则对脚本进行优化,比如正则以下界面的返回内容:
这里就当留白吧,说不定哪天有空也会增加上的说~
4、Weblogic漏洞批量检测
大家走到这一步,已经拿到了一份weblogic死亡名单,首先恭喜各位,将ipresult.txt
直接提交给WeblogicScanLot吧。
WeblogicScanLot系列工具是WeblogicScan2.*系列批量工具,脚本已更新至最新,支持最新CVE-2019-2725、CVE-2019-2729。
工具地址:https://github.com/rabbitmask/WeblogicScanLot
工具介绍:
软件作者:Tide_RabbitMask
免责声明:Pia!(o ‵-′)ノ”(ノ﹏<。)
本工具仅用于安全测试,请勿用于非法使用,要乖哦~
V2.1简介:
提供weblogic批量检测功能,收录几乎全部weblogic历史漏洞。
【没有遇到过weblogic批量检测工具的小朋友举起你的爪爪!】
PS:
综上:V2.*系列不是V1.*的升级版,只是多进程批量版本。
对于当个目标站点的检测,依然推荐您使用V1.*系列。
V 2.*系列特色:
1.多进程任务高效并发
2.简洁直观的监控界面
3.健全的日志记录功能
4.健全的异常处理机制
V 2.*功能详情:
#控制台路径泄露
Console
#SSRF:
CVE-2014-4210
#JAVA反序列化
CVE-2016-0638
CVE-2016-3510
CVE-2017-3248
CVE-2018-2628
CVE-2018-2893
CVE-2019-2725
CVE-2019-2729
#任意文件上传
CVE-2018-2894
#XMLDecoder反序列化
CVE-2017-3506
CVE-2017-10271
V 2.1更新日志:
系列重新定义为WeblogicScanLot版本。
新增大量成熟POC,与V1.3保持一致。
同样新版本完全舍弃Python2。
日志功能重构,更加健壮实用。
Kill旧版本window下多进程适应性BUG
【软件使用Demo】
【此处只提供了本机单机扫描demo,多线程实战场面太过血腥,请在家长陪同下自行体验】
#控制台:
=========================================================================
__ __ _ _ _ ____
\ \ / /__| |__ | | ___ __ _(_) ___ / ___| ___ __ _ _ __
\ \ /\ / / _ \ '_ \| |/ _ \ / _` | |/ __| \___ \ / __/ _` | '_ \
\ V V / __/ |_) | | (_) | (_| | | (__ ___) | (_| (_| | | | |
\_/\_/ \___|_.__/|_|\___/ \__, |_|\___| |____/ \___\__,_|_| |_|
|___/
By Tide_RabbitMask | V 2.1
Welcome To WeblogicScan !!!
Whoami:rabbitmask.github.io
[*]任务加载成功,目标:127.0.0.1:7001
[*]任务检测完成,目标:127.0.0.1:7001
>>>>>End of task
=========================================================================
#日志文件:
=========================================================================
2019-07-08 21:11:48,385 [+]The target Weblogic console address is exposed! The path is: http://127.0.0.1:7001/console/login/LoginForm.jsp Please try weak password blasting!
2019-07-08 21:11:48,385 [+]The target Weblogic UDDI module is exposed! The path is: http://127.0.0.1:7001/uddiexplorer/ Please verify the SSRF vulnerability!
2019-07-08 21:11:48,385 [-]CVE_2016_0638 not detected.
2019-07-08 21:11:48,385 [-]CVE_2016_3510 not detected.
2019-07-08 21:11:48,385 [-]CVE_2017_3248 not detected.
2019-07-08 21:11:51,024 [-]Target weblogic not detected CVE-2017-3506
2019-07-08 21:11:51,044 [-]Target weblogic not detected CVE-2017-10271
2019-07-08 21:11:51,044 [-]CVE_2018_2628 not detected.
2019-07-08 21:11:51,044 [-]CVE_2018_2893 not detected.
2019-07-08 21:11:51,054 [-]Target weblogic not detected CVE-2018-2894
2019-07-08 21:11:51,563 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2019-2725
2019-07-08 21:11:51,753 [+]Your current permission is:rabbitmask\rabbitmask
2019-07-08 21:11:54,062 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2019-2729
2019-07-08 21:11:54,062 [+]Your current permission is: rabbitmask\rabbitmask
=========================================================================
弱口令
当然了,既然已经拿到了一批控制台路径,我们自然不会就这么毫无意义的丢过去,筛选下相关路径来一波批量弱口令爆破吧!
https://github.com/rabbitmask/WeblogicWeakPwd
这里我给出了部分自己整理的弱口令,大家根据需求增删。
userdict = ['WebLogic', 'weblogic', 'Oracle@123', 'password', 'system', 'Administrator', 'admin', 'security', 'joe',
'wlcsystem', 'wlpisystem']
pwddict = ['WebLogic', 'weblogic', 'Oracle@123', 'password', 'system', 'Administrator', 'admin', 'security', 'joe',
'wlcsystem', 'wlpisystem']
这里是一个旧版本的多进程批量爆破工具,端口没有和上述工具同步,大家自行优化下吧,或者等我哪天有空更新下QAQ,思路仅供参考。
免责声明
为了防止被吞,还是絮叨两句吧,本工具适用于红蓝对抗、漏洞挖掘等授权行为,请勿用于非法用途,当然了,兔子不提供任何EXP。
鸣谢小结
以后因为工作调整接触Weblogic可能相对少一点了,遂将个人经历做了一个小结,希望可以帮得到大家,感谢大家一直以来对兔子的支持,鞠躬~
另外,感谢一直为我提供POC建议的小伙伴们,感谢Tide一路陪伴,特别感谢Tide-DeceaseWolf提供的LOGO,鞠躬~
呐,晚安、世界、