Weblogic (weak_password)漏洞复现

Weblogic (weak_password)漏洞复现

前言

weblogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,本文主要介绍几个常见的weblogic漏洞原理和复现过程。

1. 漏洞原理

在weblogic搭建好之后没有修改进入后台的密码导致弱口令登录获得webshell

  • 本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。

  • Weblogic版本:10.3.6(11g)

    Java版本:1.6

2.环境搭建

在vulhub靶场启动docker-compose up -d

访问:http://your-ip:7001/console即可进入后台

Weblogic (weak_password)漏洞复现_第1张图片

3.复现过程

1.弱口令登录

输入弱口令:即可登录

  • weblogic

  • Oracle@123

Weblogic (weak_password)漏洞复现_第2张图片

weblogic常见弱口令总结:

system:password		  weblogic:weblogic		admin:secruity
joe:password		  mary:password		    system:sercurity
wlcsystem: wlcsystem		weblogic:Oracle@123

2.任意文件读取

假设不存在弱口令,如何对weblogic进行渗透?

本环境前台模拟了一个任意文件下载漏洞,访问http://your-ip:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件。那么,该漏洞如何利用?

  • weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可;

    这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml;

  • SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,这就是密钥,右键copy to file就可以保存成一个文件:

所以访问:brup抓包

192.168.241.129:7001/hello/file.jsp?path=security/SerializedSystemIni.dat

Weblogic (weak_password)漏洞复现_第3张图片

  • 再抓取 config.xml 的包,找到加密后的管理员密码:
192.168.241.129:7001/hello/file.jsp?path=config/config.xml

config.xml是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的的值,即为加密后的管理员密码,不要找错了:
Weblogic (weak_password)漏洞复现_第4张图片

然后进行解密,工具地址:

https://github.com/TideSec/Decrypt_Weblogic_Password

Weblogic (weak_password)漏洞复现_第5张图片

然后进行登录,上传shell,

先点击部署,然后安装

Weblogic (weak_password)漏洞复现_第6张图片

点击上载文件

Weblogic (weak_password)漏洞复现_第7张图片

Weblogic (weak_password)漏洞复现_第8张图片

使用该命令生成war文件,上传

jar -cvf shell.war “x.jsp” //x.jsp为jsp一句话木马

Weblogic (weak_password)漏洞复现_第9张图片

一直下一步,直到完成

在这里插入图片描述

此时访问(war文件部署后会解压,此时直接访问该文件路径加jsp一句话)

192.168.241.129:7001/shell/x.jsp

Weblogic (weak_password)漏洞复现_第10张图片

出现如上界面表示上传成功,用蚁剑进行连接

Weblogic (weak_password)漏洞复现_第11张图片

4.防御和修复

1.设置Config.do页面登录授权后访问;
2.IPS等防御产品可以加入相应的特征;
3.升级到官方最新版本

你可能感兴趣的:(漏洞复现,weblogic,web安全)