1.环境
Weblogic版本:10.3.6(11g)
Java版本:1.6
本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。
环境启动后,weblogic后台访问http://ip:7001/console
本环境存在弱口令:
weblogic
Oracle@123
2.原理
3.影响版本
Weblogic版本:10.3.6(11g)
4.利用过程
环境启动后,weblogic后台访问http://ip:7001/console
本环境存在弱口令:
weblogic
Oracle@123
登录进来
任意文件读取漏洞的利用
假设不存在弱口令,如何对weblogic进行渗透?
环境前台模拟了一个任意文件下载漏洞,访问http://IP:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件。
读取后台用户密文与密钥文件
weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml,在本环境中为./security/SerializedSystemIni.dat和./config/config.xml(基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain)。
SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,右键copy to file就可以保存成一个文件:
GET /hello/file.jsp?path=./security/SerializedSystemIni.dat
复制出来
再访问
GET /hello/file.jsp?path=./config/config.xml
最后解密
解密
webshell
获取到管理员密码后,登录后台。点击左侧的部署,可见一个应用列表:
可以直接webshell
点击安装
出现上传点
上传war包。值得注意的是,我们平时tomcat用的war包不一定能够成功,你可以将你的webshell放到本项目的web/hello.war这个压缩包中,再上传。上传成功后点下一步。
继续一直下一步,最后点完成。
最后路径为 http://10.77.0.130:7001//zydx666godz/godz.jsp?o=vLogin
