首页 / 笔记 / 漏洞复现
发表于,更新于

【漏洞复现】weblogic文件读取漏洞-vulhub-weblogic_weak_password

环境配置说明网站:
https://vulhub.org/#/environments/weblogic/weak_password/

Weblogic 常规渗透测试环境

测试环境

本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。
Weblogic版本:10.3.6(11g)
Java版本:1.6
启动测试环境:
2024-04-11T13:06:42.png
我已经提前将整个vulhub靶场环境拉取到本地环境了,找到此次的path环境启动即可
对应的readme.md文档中也有漏洞复现的重要步骤可以参考
2024-04-11T13:06:51.png

docker compose up -d

首次开启环境会慢一些
2024-04-11T13:07:00.png

弱口令

环境启动后,访问http://your-ip:7001/console,即为weblogic后台。
这里我的IP为10.9.23.233,直接访问10.9.23.233:7001/console即可访问weblogic后台
2024-04-11T13:07:13.png
通过环境文件可知本环境存在弱口令:

  • weblogic
  • Oracle@123

weblogic常用弱口令: http://cirt.net/passwords?criteria=weblogic

任意文件读取漏洞的利用

这里我们当作不知道密码
本环境前台模拟了一个任意文件下载漏洞,访问http://your-ip:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件。
直接访问http://10.9.23.233:7001/hello/file.jsp?path=/etc/passwd 会将文件进行下载,然后打开就是对应passwd文件内容
2024-04-11T13:07:28.png

读取后台用户密文与密钥文件

weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml,在本环境中为./security/SerializedSystemIni.dat和./config/config.xml(基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain)。
SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,右键copy to file就可以保存成一个文件:

http://10.9.23.233:7001/hello/file.jsp?path=./security/SerializedSystemIni.dat进行抓包重放得到密文
2024-04-11T13:07:46.png

http://10.9.23.233:7001/hello/file.jsp?path=./config/config.xml进行抓包重放得到密文
config.xml是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的<node-manager-password-encrypted>的值,即为加密后的管理员密码
2024-04-11T13:08:16.png
{AES}yvGnizbUS0lga6iPA5LkrQdImFiS/DJ8Lw/yeE7Dt0k=

解密密文

然后使用本环境的decrypt目录下的weblogic_decrypt.jar,解密密文
按照给的思路进行操作,现在没有得到预设的弱口令,目前不知道是哪里的问题
2024-04-11T13:08:26.png

这里我先直接使用弱口令直接登录进来了
2024-04-11T13:08:35.png
登录后台。点击左侧的部署,可见一个应用列表:
2024-04-11T13:08:43.png
点击安装,选择上传文件
2024-04-11T13:08:55.png
2024-04-11T13:09:05.png
2024-04-11T13:09:17.png
2024-04-11T13:09:42.png
2024-04-11T13:09:54.png
上传成功
2024-04-11T13:10:05.png
2024-04-11T13:10:13.png
使用蚁剑进行连接,连接成功,getshell
2024-04-11T13:10:22.png
2024-04-11T13:10:30.png

war包制作过程参考我的这篇文章
tomcat作业漏洞复现(war包制作)

标签: 漏洞复现, weblogic

许可协议

本文作者 , 采用 CC-BY-SA-4.0 许可协议,转载请注明出处。
上一篇 sqlmap用法

已有 14 条评论

添加新评论

  1. znicqdkqeh znicqdkqeh

    哈哈哈,写的太好了https://www.lawjida.com/

    回复
  2. jhonmqpush jhonmqpush

    《假面骑士响鬼》日本剧高清在线免费观看:https://www.jgz518.com/xingkong/50854.html

    回复
  3. sjzjlncqgj sjzjlncqgj

    《最后通牒1929》剧情片高清在线免费观看:https://www.jgz518.com/xingkong/122102.html

    回复
  4. govqwwohiy govqwwohiy

    《独行天下》剧情片高清在线免费观看:https://www.jgz518.com/xingkong/82709.html

    回复
  6. xgxparmecr xgxparmecr

    兄弟写的非常好 https://www.cscnn.com/

    回复
  7. opefmyffdx opefmyffdx

    想想你的文章写的特别好www.jiwenlaw.com

    回复
  8. zeuviijcqd zeuviijcqd

    不错不错,我喜欢看 https://www.ea55.com/

    回复
  9. aszhzuiqyu aszhzuiqyu

    不错不错,我喜欢看 https://www.237fa.com/

    回复
  10. rlzimbunkc rlzimbunkc

    不错不错,我喜欢看 https://www.jiwenlaw.com/

    回复
  11. mwdddfwvvv mwdddfwvvv

    叼茂SEO.bfbikes.com

    回复
  12. wlkmlljibc wlkmlljibc

    叼茂SEO.bfbikes.com

    回复
  13. enpuktzkxp enpuktzkxp

    博主真是太厉害了!!!

    回复
  14. ikskrcwryv ikskrcwryv

    博主真是太厉害了!!!

    回复