前言
看了下vulhub里的weblogic任意文件读取漏洞+后台任意上传war包在这里复现下。
漏洞环境
漏洞环境:一个weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。
Weblogic版本:10.3.6(11g)
Java版本:1.6
漏洞复现
启动本环境
docker-compose up -d
弱口令
环境启动后,访问http://your-ip:7001/console,即为weblogic后台。
本环境存在弱口令:
weblogic
Oracle@123
weblogic常用弱口令: http://cirt.net/passwords?criteria=weblogic
但是还有一种方法通过任意文件读取密码文件进行破解。
任意文件读取漏洞的利用
1.假设不存在弱口令,如何对weblogic进行渗透?
访问http://your-ip:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件。那么,怎么解开加密的密码?
2.读取后台用户密文与密钥文件
weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml