Weblogic后台部署War包

已于 2023-10-19 00:49:52 修改
阅读量676 收藏 1
点赞数
文章标签: 网络安全 安全 web安全
于 2023-10-19 00:45:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65150886/article/details/133917059
版权

一、什么是WebLogic


WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

二、漏洞描述


本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。

Weblogic版本:10.3.6(11g)

Java版本:1.6


三、漏洞环境搭建

进入相应目录

启动容器

docker-compose up -d

查询端口

docker ps -a

四、复现Weblogic漏洞

弱口令

访问登录后台

http://192.168.0.116:7001/console/login/LoginForm.jsp

本环境存在弱口令:

账户密码
weblogicOracle@123

文件读取

假设不存在弱口令,如何对 Weblogic 进行渗透?

任意文件下载

本环境前台模拟了一个任意文件下载漏洞,来验证一下。访问http://your-ip:32770/hello/file.jsp?path=/etc/passwd可见成功读取 passwd 文件:

账户密码
weblogicOracle@123

下载并打开 passwd 文件:

AES密码破解
Weblogic 密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于 base_domain下,名为 SerializedSystemIni.dat 和config.xml,在本环境中为 ./security/SerializedSystemIni.dat和./config/config.xml(基于当前目录 /root/Oracle/Middleware/user_projects/domains/base_domain)。

1、SerializedSystemIni.dat 是一个二进制文件,所以一定要用 burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在 Burp 里选中读取到的那一串乱码,右键选择 copy to file 就可以保存成一个文件:

config.xml 是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的<node-manager-password-encrypted>的值,即为加密后的管理员密码:

从 Github 下载 Weblogic 的解密工具,与上述SerializedSystemIni.dat文件一起保存到本地,如下图所示:

解密密文,获得 Weblogic 后台用户的密码:

后台传马

拿到 Weblogic 后台的登录账户和密码之后,可以进入后台上传 War 木马文件获得 WebShell。

1、输入账号名、密码登录之后进入后台管理界面 -> 部署 -> 安装:

在安装页面点击上载文件:

然后选择制作好的 war 木马文件包,点击下一步:

War 木马文件包的制作方法:准备一个 JSP 大马文件:xxx.jsp,将其压缩为 ma1.zip,然后重命名为 ma1.war,test 即为部署成功大马存放的目录:

一直下一步(这里注意点击的是上边的下一步,不要点错了):

然后点击完成-保存:

部署完成:

访问大马文件http://IP:7001/test/JspSpy.jsp,需要验证密码:

JSP大马文件ma1.jsp的连接密码:admin

成功连接大马:

.防御和修复

1.设置Config.do页面登录授权后访问;

2.IPS等防御产品可以加入相应的特征;

3.升级到官方最新版本

慕筱蚺
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
weblogic部署测试war
12-19
用于测试部署环境是否实现分发 用于测试weblogic是否可以部署war 用于测试tomcat是否可以部署war
WebLogic部署war
热门推荐
md_shmily92的专栏
04-29 1万+
1.启动WebLogic后打开浏览器,地址:http://x.x.x.x:7001/console,用创建的域账户、密码登陆注意:可在其他电脑访问WebLogic服务器,但war必须与WebLogic服务器在同一台电脑上 2.点击左边菜单栏部署/Deployments,及左上方锁定并编辑,怎右边界面的安装/install按钮可选  3.点击“Install”按钮之后会出现一个让你选择
Tomcat和Weblogic部署纯html文件过程解析
09-29
主要介绍了Tomcat和Weblogic部署纯html文件过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
weblogic部署war
chuanximou9141的博客
07-12 1223
weblogic的运行模式修改为生产模式 找到setDomainEnv.sh 利用vi编辑器打开,找到配置参数PRODUCTION_MODE的配置 在weblogic部署项目通常有三种方式: 第一,在控制台中安装部署; 第二,将部署放在domain域中autodeploy目录下部署;...
WEBLOGIC项目环境搭建+WAR发布+SSL加密配置
yanglyue的博客
04-07 4458
WEBLOGIC项目环境搭建 软件环境 软件名称 软件版本 Weblogic 12c(12.1.3) JDK 1.7.0_75 Cronolog 1.6.2     一、weblogic环境搭建 1.weblogic配置信息
weblogic部署war
Appleseses的博客
10-29 889
利用各种IDE工具,将项目打成War(当然,也可以直接在IDE中将服务器配置成Weblogic Server),部署Weblogic上,有多种方法: 1、利用Console控制台: 登录控制台后,选择左边的树型菜单“部署——Web应用程序模块”,然后选择界面右边的“部署web新应用程序模块”,然后再选择War文件所在的路径(程序会自动将该目录下的War文件列出来),部署即可。 ...
weblogic部署应用】
QiLin__的博客
05-30 2895
weblogic前台部署应用流程前言一、登录weblogic前台二、新增服务器1.新建服务器2.部署服务 前言 提示:本文默认weblogic本身已安装成功,只针对部署war全流程进行介绍。本文适用于weblogic 11g 一、登录weblogic前台 二、新增服务器 1.新建服务器 在页面左侧点击环境–>服务器–>新建 创建服务器,输入服务名(test)和端口号(10000) 点击下一步完成服务器创建 .
Weblogic 部署 war
Mr.Kevin-From human to God,how much time needs?
10-14 197
[u][b] 利用各种IDE工具,将项目打成War(当然,也可以直接在IDE中将服务器配置成Weblogic Server)[/b][/u] [b][size=large]部署Weblogic上,有多种方法:[/size][/b] [b]1、利用Console控制台:[/b] 登录控制台后,选择左边的树型菜单“部署——Web应用程序模块”,然后选择界面右边的“部署w...
Weblogic12c 单节点安装 + war和数据源部署
Vic的博客
02-09 2827
目录 第一节weblogic12c 的安装 1 检查通过后,启动WebLogic安装图形界面 2 直接点击下一步即可 3 指定Oracle主目录,即WebLogic主目录,注意,WebLogic安装目录不可含空格和中文字符 4 安装类型,选择WebLogic server,无需安装中间件和示例 5 继续先决检查,点击下一步即可 6 对于更新的处理,我们选择不接受更新的提醒 7 选择 不希望收到有关配置中严重安全问题的... 8 安装概要,磁盘空间及安装日志记...
idea+springboot 创建简单war项目,在weblogic进行部署测试
qq_21216941的博客
08-23 1423
web.xml : 提示 weblogic.application.ModuleException: java.io.FileNotFoundException: Could not open ServletContext resource [/com.peanut2.wartest.WarTestApplication]
关于weblogic部署Java项目的冲突问题的解决
08-26
主要介绍了关于weblogic部署Java项目的冲突问题的解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
weblogic部署项目
08-03
linux上的weblogic部署项目,内含weblogic的启动和部署
测试Websphere、Weblogic应用war
06-25
用于测试Websphere Weblogic等j2ee企业级应用服务器。每点击一个页面会在标准输出打印信息,可用于初学者测试负载均衡,效果明显。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8174
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 802
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
如何在Android应用中安全地使用SQLite数据库,并通过SQLCipher进行加密保护
轻描时光
04-23 66
Android内置SQLite轻量级关系型数据库,可以在Android应用中存储、检索和管理结构化数据。SQLite是一个无服务器的、零配置的、事务性的SQL数据库引擎,非常适合用于移动设备和桌面应用程序中。:SQLite不需要单独的服务器进程或操作系统级别的配置。可以直接读写磁盘上的文件,非常高效且适合在资源有限的移动设备上使用。:SQLite支持ACID事务,提供了原子性、一致性、隔离性和持久性。保证了即使在发生故障的情况下,数据的完整性也能得到维护。
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 309
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
严把质量关,饮片追溯系统应用,信息化追溯助力用药安全-亿发
YIFARJ的博客
04-26 135
随着国家政策的持续推动和各地的积极响应,相信中药饮片追溯系统将在未来发挥更加重要的作用,有助于中药饮片行业提升质量水平,净化市场环境,增强消费者对中药饮片的信任度,促进中医药产业的健康发展和可持续性增长。追溯体系可以追踪和记录药材的种植、采集、加工等全过程信息,为质量监管提供数据支持,有效防止低质量或假冒伪劣药材进入市场,保障中药饮片的品质。通过建立追溯体系,消费者可以查询药材的来源、加工过程和质量检测等关键信息,选择可靠的中药产品,提高用药安全性,避免因药材质量问题导致的用药风险。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 199
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
weblogic部署jar
03-26
可以通过以下步骤在WebLogic部署jar: 1. 将jar上传到WebLogic服务器上。您可以使用sftp或scp等工具将其上传到服务器。 2. 登录WebLogic控制台。在浏览器中输入控制台的URL(例如http://localhost:7001/console)并使用管理员凭证登录。 3. 在左侧导航栏中,单击“Deployments”(部署)选项。 4. 单击“Install”(安装)按钮,在弹出的对话框中选择要安装的文件。 5. 选择您要部署的jar并单击“Next”(下一步)。 6. 在“Deployment Plan”(部署计划)页面上,选择您的部署计划,并单击“Next”(下一步)。 7. 在“Target Selection”(目标选择)页面上,选择您要将jar部署到的WebLogic服务器或群集,并单击“Next”(下一步)。 8. 在“Configuration”(配置)页面上,指定您的应用程序名称、上下文根路径和其他配置参数。单击“Next”(下一步)。 9. 在“Summary”(摘要)页面上,确认您的配置,并单击“Finish”(完成)。 10. 在WebLogic控制台中,选择“Deployments”(部署)选项卡,您将在列表中看到您刚刚部署的应用程序。 11. 单击应用程序名称,然后单击“Control”(控制)选项卡,您可以启动、停止或重新启动应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值