环境
基于vulhub的weblogic弱口令漏洞和任意文件读取漏洞
弱口令
本环境存在弱口令
用户名:weblogic
密码:Oracle@123
weblogic常见的弱口令组合
1. Oracle - WebLogic
Method HTTP
User ID system
Password password
Level Administrator
Doc
Notes Login located at /console
2. Oracle - WebLogic
Method HTTP
User ID weblogic
Password weblogic
Level Administrator
Doc
Notes Login located at /console
3. Oracle - WebLogic
Version 9.0 Beta (Diablo)
User ID weblogic
Password weblogic
Doc
4. Oracle - WebLogic Process Integrator
Version 2.0
User ID admin
Password security
Doc
5. Oracle - WebLogic Process Integrator
Version 2.0
User ID joe
Password password
Doc
6. Oracle - WebLogic Process Integrator
Version 2.0
User ID mary
Password password
Doc
7. Oracle - WebLogic Process Integrator
Version 2.0
User ID system
Password security
Doc
8. Oracle - WebLogic Process Integrator
Version 2.0
User ID wlcsystem
Password wlcsystem
Doc
9. Oracle - WebLogic Process Integrator
Version 2.0
User ID wlpisystem
Password wlpisystem
Doc
获取到账号和密码之后,我们可以进入到后台去上传war的web应用程序和木马获得权限
任意文件读取
搭建好的环境有任意文件读取漏洞,具体路径是
http://192.168.75.131:7001/hello/file.jsp?path=/etc/passwd
会读取到账号和密码
但是还没有什么实质性的作用,要怎么利用这个漏洞呢?下面就是一些干货了。weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml。
SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,这就是密钥,右键copy to file就可以保存成一个文件:
http://192.168.75.131:7001/hello/file.jsp?path=security/SerializedSystemIni.dat
config.xml是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的的值,即为加密后的管理员密码,不要找错了:
http://192.168.75.131:7001/hello/file.jsp?path=config/config.xml
解密密文
我们有了密钥和密码,下面就要解密了,然后使用工具weblogic_decrypt.jar解密
同样获取到了明文密码,就算没有弱口令也是可以进入后台上传shell的
后台上传shell
war简介
war是一个可以直接运行的web模块,通常用于网站,打成包部署到容器中。war包放置到web目录下之后,可以自动解压,就相当于发布了。
简单来说,war包是JavaWeb程序打的包,war包里面包括写的代码编译成的class文件,依赖的包,配置文件,所有的网站页面,包括html,jsp等等。一个war包可以理解为是一个web项目,里面是项目的所有东西。
war打包
linux下把文件打包成war的压缩包,命令如下
jar -cvf blog.war *
查看example.war
jar -tf blog.war
也可以先把文件压缩成zip,再改后缀名为war
部署war文件
上传war的流程如下图所示
总结起来就是:域结构-部署-安装-上传文件-将此部署安装为应用程序。然后访问项目名称即可。
最后访问的路径是
http://192.168.75.131:7001/JspSpy/JspSpy.jsp
截图如下
至此就拿到了shell