weblogic漏洞getshell_weblogic getshell - CSDN
精华内容
参与话题
  • 利用docker环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。 分别通过这两种漏洞,模拟对weblogic场景的渗透。 Weblogic版本:10.3.6(11g) Java版本:1.6 弱口令 ...

    利用docker环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。

    分别通过这两种漏洞,模拟对weblogic场景的渗透。

    Weblogic版本:10.3.6(11g)

    Java版本:1.6

     

    弱口令

    环境启动后,访问 http://192.168.0.132:7001/console 即可跳转到Weblogic后台登陆页面:

    本环境存在弱口令:

    用户名:weblogic

    密码:Oracle@123

    weblogic常用弱口令: http://cirt.net/passwords?criteria=weblogic

    任意文件读取漏洞的利用

    假设不存在弱口令,如何对weblogic进行渗透?

    本环境前台模拟了一个任意文件下载漏洞,访问 http://192.168.0.132:7001/hello/file.jsp?path=/etc/passwd

    可见成功读取passwd文件。那么,该漏洞如何利用?

    读取后台用户密文与密钥文件

    weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密

    时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.datconfig.xml

    在本环境中为./security/SerializedSystemIni.dat./config/config.xml(基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain)。

    SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,

    用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,右键copy to file就可以保存成一个文件:

    config.xml是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的

    <node-manager-password-encrypted>的值,即为加密后的管理员密码,不要找错了:

     

    解密密文

    然后使用大佬们写的解密工具:

    可见,解密后和我预设的密码一致,说明成功。

    这里贴出工具链接:链接:https://pan.baidu.com/s/1fHdJSJMJ6qHGhvEoITMpVA
    提取码:yoy2

    后台上传webshell

    获取到管理员密码后,登录后台。点击左侧的部署,可见一个应用列表:

    点击安装,选择“上载文件”,上传war包。值得注意的是,我们平时tomcat用的war包不一定能够成功,

    你可以将你的webshell放到本项目的 web/hello.war这个压缩包中,再上传。上传成功后点下一步。


    填写应用名称:

    继续一直下一步,最后点完成。



    应用目录在war包中WEB-INF/weblogic.xml里指定(因为本测试环境已经使用了/hello这个目录,所以你要在本测试

    环境下部署shell,需要修改这个目录,比如修改成/bmjoker):

     

    上传部署war包成功后即可访问大马

    成功获取webshell

     

    提示与技巧:

    1.通过上述步骤上传的木马默认是保存在/root/Oracle/Middleware/user_projects/domains/weblogic/servers/AdminServer/upload

    2.war包制作方法jar -cvf test.war ./test/*

    3.本次使用的jsp马来自:https://www.webshell.cc/4422.html

     

    转载于:https://www.cnblogs.com/bmjoker/p/9822886.html

    展开全文
  • 本文主要是讲述在主机渗透中我们经常使用的一条路径(存活判断-端口扫描-端口删选(web端口)-针对性渗透(web渗透))进行渗透,其中主要涉及发现漏洞、利用漏洞、获取上传位置等过程中自己的一点经验技巧。...

    本文主要是讲述在主机渗透中我们经常使用的一条路径(存活判断-端口扫描-端口删选(web端口)-针对性渗透(web渗透))进行渗透,其中主要涉及发现漏洞、利用漏洞、获取上传位置等过程中自己的一点经验技巧。简单来说,本文主要是对某主机进行渗透的全过程记录!如有不合理或错误的地方,烦请各位多多指教,谢谢!

    1.1    主机存活判断

    当我们得到一个主机IP时,我们首先对它进行存活判断,最简单的就是通过ping命令,但是如果主机是禁ping那么我们可能会判断失误,因此我们需要使用nmap来再次进行存活判断(命令格式为:nmap –sn [ip])。

    通过使用ping命令,如图1所示,我们可以判断主机是存活的。

    wKiom1mhFm_CvnxuAACVItKjTLs162.jpg-wh_50

    图1      主机存活判断

    1.2    端口扫描

    通过主机存活判断,我们知道主机是存活的,接下来就是对主机进行端口扫描,查看主机开放了哪些端口,端口扫描工具可以使用nmap、御剑等工具进行扫描,而nmap对于扫描全端口来说,我觉得很慢(可能是我的带宽渣吧),因此我几乎都是使用御剑进行端口扫描,而御剑对服务的识别却没有nmap那么好,看情况选择。在主机渗透方面,主要是扫描一些控制类端口或者web类端口,对于控制类端口主要是使用暴力破解工具探测弱口令,运气好的话可能就能直接获取服务器的控制权,而我运气一向不好,所以本文主要是选择web类端口进行着手渗透。另外我们可以使用nmap对主机进行漏洞检查(命令格式:nmap –script=vuln [ip]),但是看运气好不好,好的话直接扫出一个远程命令执行的漏洞,然后可以使用但不限于metaspolit进行利用!

    如图2,通过端口扫描我们发现主机开放了如下端口,我一般选择后面带->符号的端口,这类端口多数为web类端口(个人经验,仅供参考),可以得到2个端口,我们随便选择一个8008进行渗透(后来才发现2个端口的漏洞是一样的)。

    wKioL1mhFoWwsezCAABSu5H3quc190.jpg-wh_50

    图2      端口扫描

    1.3    获取服务器基本信息

    获取服务器基本信息的方法很多,本次将使用nc进行获取服务器基本信息,使用方法为:nc [ip] [port] ,然后输入HEAD HTTP/1.0 ,按enter将回显服务器基本信息,如果没有回显,可以将1.0改为1.1试试,如图3所示,网站使用jsp脚本,另外还有servlet可知该网站主要是java开发。(以后再遇到这种情况先使用反序列化工具验证下)

    wKiom1mhFruikufhAABlfm9yn9s769.jpg-wh_50

    图3      获取服务器基本信息

    1.4    wvs web漏洞扫描

    虽然通过访问可知,http响应码为404,但是依旧可以进行扫描,看能不能发现目录等相关信息。

    wKiom1mhFs-QXPv2AAIHUrDFx88680.jpg-wh_50

    图4      http响应码404

    wvs是一个自动化的web应用程序安全测试工具,它可以扫描可以通过web浏览器和遵循httphttps规则的web站点和应用程序。通过wvs可以扫描SQL注入、XSS、目录检测、版本检测、源代码泄露等诸多漏洞。

    通过wvs扫描,如图5可知该站点是oracleweblogic server,且存在weblogic ssrf漏洞,由于本人实在是一个菜鸟,对ssrf漏洞利用只能探测内网端口,无法反弹shell,路过的大神求指点,如何利用weblogic ssrf进行反弹shell,小的在此先谢过了。因此发现既然是weblogic,还是java开发的(上面初步判断的),那就用java反序列化工具看看有没有这个漏洞。

    wKioL1mhFtXBFOo3AADdyWYByzo051.jpg-wh_50

    图5      wvs扫描结果

    1.5    发现weblogic反序列化漏洞

    通过java反序列化漏洞利用工具验证,如图6可知,该漏洞是存在的,并且知道了当前用户及用户的当前目录等信息。

    wKioL1mhFuyAO5nTAADMKOmKz3A417.jpg-wh_50

    图6      验证漏洞存在

    1.6    上传webshell

    漏洞是存在的,并且可以利用,通过该漏洞,我们可以执行命令、文件管理、webshell上传,我们就选择webshell上传吧(增加工作量呀),但是上传我们需要一个我们能进行web访问的路径,如图7,但是路径在哪找呢?

    wKiom1mhFw6wm_HlAACKIQW-aJM348.jpg-wh_50

    图7      上传需要物理路径

    1.7    寻找web路径

    通过wvs,我们可以获取到相关路径,如图8,但是我们需要绝对路径,我们选择了其中一个使用locate进行查找,发现太多了,根本不好判断是哪一个,如图9所示。

    wKiom1mhFymDMdIhAAIc8b61tVM603.jpg-wh_50

    图8      扫描发现的目录

    wKiom1mhF0jQWdVIAAJvmitPlzw782.jpg-wh_50

    图9      无法判断具体目录

    这样就结束了吗?当然没有,在上次的文章中我说过,我们可以通过查看页面中的图片属性,然后来进行web路径的寻找。通过F12源码审查,我们可以获取到相关图片的路径,如图10,图11所示,此处选择图11的图片路径(因为我最先扫描目录扫出来的只有console,如图12)。

    wKiom1mhF1qgsSH9AAK3xLRp5Rs591.jpg-wh_50

    图10     web路径1

    wKioL1mhF2GwkoZ9AAJU1v9kQhg491.jpg-wh_50

    图11     web路径2

    wKioL1mhF3LDgxe8AACLfHugnco741.jpg-wh_50

    图12     目录扫描

    1.8    查找绝对路径

    通过获取到的图片名称及对应的目录,我们使用locate[图片名]进行查看,如图13,对比发现即可获取到绝对路径(图中第二条)。

    wKiom1mhF5ShhZnCAAD_f1PKmDE420.jpg-wh_50

    图13     获取绝对路径

    1.9    上传webshell

    通过获取到的绝对路径及web路径,我们即可上传webshell,先上传一个小马试试(忘记截图了,参考下面的上传大马),但是我们连接不上,免杀的小马也试过了,就是不行,如图14,服务器500错误。不是k8上面有现成的k200pxd马吗,如图15,上传试试发现成功了,如图16k200pxd马连接成功!但是操作很不方便,可能一时脑壳宕了,小马不行干嘛不上传大马,为啥总想中国菜刀呢(太爱国了),真是丢了西瓜捡了芝麻。

    wKiom1mhF6Sgc22HAACi2draeX0837.jpg-wh_50

      图14     小马连接失败

    wKioL1mhF67jjN_5AAEfdQYiUW8661.jpg-wh_50

                  图15     k200pxd马代码获取

    wKiom1mhF83DECJcAAMUZ88MFVU871.jpg-wh_50

     图16     k200pxd马连接成功

    1.10            成功获得webshell

    通过获取的物理路径及web路径,重新尝试上传大马,如图17所示,上传成功,最后访问大马成功,如图18所示。

    wKiom1mhF9_wkDzUAAJ-vFL-JaU565.jpg-wh_50

     图17     上传大马成功

    wKiom1mhF_Px4uLLAAOVGyALphw741.jpg-wh_50

    图18     连接大马成功

    1.11            总结

    在本次渗透中,主要是对weblogic反序列化漏洞进行利用获取webshell,而上传的webshell要我们能访问,所以我们就需要获取web路径及web路径对应的物理路径,获取web路径一是可以扫目录看能不能发现,二可以查看源代码,看有没有相关信息,另外还有报错信息泄露路径等手段,本文主要是根据页面中图片的属性结合locate命令来寻找对应的关系。

    另外在我上传小马过程中,总是不成功,虽然小马上传成功了(通过ls可以查看对应目录中的文件),但是访问不了,总是报500错误,菜刀也连接不上,于是想到使用k200pxd马进行上传(之前遇到过上传小马大马都不行,就上传k200pxd马可以),发现成功了,可能是固定思维,发现小马不能上传,一开始就没想到要上传大马,连上k200pxd马之后,感觉操作很不喜欢,才想到上传大马试试,最后上传大马成功!




    本文转自 eth10 51CTO博客,原文链接:http://blog.51cto.com/eth10/1959538
    展开全文
  • 这工具写到半夜四点,做个记录。 已发布至freebuf,链接:http://www.freebuf.com/vuls/90802.html 转载于:https://www.cnblogs.com/rebeyond/p/5041017.html

     

    这工具写到半夜四点,做个记录。

    已发布至freebuf,链接:http://www.freebuf.com/vuls/90802.html

     

     

    转载于:https://www.cnblogs.com/rebeyond/p/5041017.html

    展开全文
  • 弱口令 环境启动后,访问http://192.168.1.15:7001/console/login/LoginForm.jsp,即为...weblogic Oracle@123 weblogic常用弱口令: 1. Oracle - WebLogic Method HTTP User ID system Password password ...

    弱口令

    环境启动后,访问http://192.168.1.15:7001/console/login/LoginForm.jsp,即为weblogic后台。
    本环境存在弱口令可以直接登录:

    • weblogic
    • Oracle@123
      在这里插入图片描述

    weblogic常用弱口令:

    1.  Oracle - WebLogic
    Method	HTTP
    User ID	system
    Password	password
    Level	Administrator
    Doc	
    Notes	Login located at /console
    
    2.  Oracle - WebLogic
    Method	HTTP
    User ID	weblogic
    Password	weblogic
    Level	Administrator
    Doc	
    Notes	Login located at /console
    
    3.  Oracle - WebLogic
    Version	9.0 Beta (Diablo)
    User ID	weblogic
    Password	weblogic
    Doc	
    
    4.  Oracle - WebLogic Process Integrator
    Version	2.0
    User ID	admin
    Password	security
    Doc	
    
    5.  Oracle - WebLogic Process Integrator
    Version	2.0
    User ID	joe
    Password	password
    Doc	
    
    6.  Oracle - WebLogic Process Integrator
    Version	2.0
    User ID	mary
    Password	password
    Doc	
    
    7.  Oracle - WebLogic Process Integrator
    Version	2.0
    User ID	system
    Password	security
    Doc	
    
    8.  Oracle - WebLogic Process Integrator
    Version	2.0
    User ID	wlcsystem
    Password	wlcsystem
    Doc	
    
    9.  Oracle - WebLogic Process Integrator
    Version	2.0
    User ID	wlpisystem
    Password	wlpisystem
    Doc	
    

    任意文件读取漏洞的利用

    假设不存在弱口令,如何对weblogic进行渗透?
    本环境前台模拟了一个任意文件下载漏洞,访问http://192.168.1.15:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件。
    在这里插入图片描述
    那么,该漏洞如何利用?
    读取后台用户密文与密钥文件
    weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.datconfig.xml,在本环境中为./security/SerializedSystemIni.dat./config/config.xml(基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain)。
    密钥获取
    SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,右键copy to file就可以保存成一个文件:
    在这里插入图片描述
    密文获取
    config.xml是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的的值,即为加密后的管理员密码,不要找错了:
    在这里插入图片描述
    解密密文
    在这里插入图片描述
    可见,解密后和预设的密码一致,说明成功。

    后台上传webshell

    获取到管理员密码后,登录后台。点击锁定并编辑
    在这里插入图片描述
    点击左侧的部署,可见一个应用列表:
    在这里插入图片描述
    点击安装,选择“上载文件”:
    在这里插入图片描述
    上传war包。值得注意的是,我们平时tomcat用的war包不一定能够成功,你可以将你的webshell放到本项目的web/hello.war这个压缩包中,再上传。上传成功后点下一步。

    填写应用名称:
    在这里插入图片描述
    继续一直下一步,最后点完成。
    在这里插入图片描述
    最后访问执行shell:
    http://192.168.1.15:7001/test3693/

    参考链接:
    http://cirt.net/passwords?criteria=weblogic
    https://github.com/vulhub/vulhub/tree/master/weblogic/weak_password
    在这里插入图片描述

    展开全文
  • 上传cmd.jsp,效果: 上传马: 转载于:https://www.cnblogs.com/n00p/p/8962136.html
  • 记录WebLogic(CVE-2017-...说用k8的weblogic2628去getshell不能链接shell,我也试了下,好像确实不能链接… 接着想着是否存在昨年的weblogic,试了下,果然存在。 接下来写入shell,访问发现,如下图。 此时我的...
  • Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含Weblogic反序列化漏洞可导致远程代码执行漏洞漏洞威胁等级为高危,对应的CVE编号为CVE-2018-26 影响版本 Oracle WebLogic Server10.3...
  • Weblogic 默认弱口令汇总及上传webshell

    千次阅读 2019-02-11 12:19:29
    weblogic 默认弱口令汇总及后台getshell 漏洞概述: 弱口令,弱口令,弱口令,重要事情说三遍。 默认弱口令: 账户 密码 system password weblogic weblogic guest guest ...
  • 漏洞存在于wls9-async组件,这个组件主要作用是异步通讯服务,攻击者可以向/_async/AsyncResponseService路径下传入构造好的恶意xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,从而可以get...
  • WebLogic SSRF漏洞攻击内网Redis以及反弹shell 漏洞概述: -通俗的讲weblogci是一种web容器,首先判断redis(内网ip和端口),由于Redis是通过换行符来分隔每条命令,可以通过传入%0a%0d来注入换行符,发送redis命令...
  • weblogic SSRF漏洞(CVE-2014-4210)检测利用

    千次阅读 2018-12-10 11:20:41
    Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 SSRF漏洞检测利用 脚本检测 def run(self): headers = { "User-Agent":"Mozilla/5.0 ...
  • CVE-2018-2628漏洞复现

    千次阅读 2020-06-07 08:21:08
    1. 漏洞简介 Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3...
  • tomcat控制台上传shell 1输入用户名密码后(有些默认是admin 空密码),进入manager/html/ 2上传打包好的jsp马的war包(test.war) 3访问shell地址 /test/1.jsp ps:jsp马打包war的...
  • WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 将Java的动态...
  • 常见中间件漏洞总结

    千次阅读 2019-01-25 16:31:58
    1. Weblogic常见漏洞 2. Tomcat常见漏洞 3. Nginx常见漏洞 4. JBOSS常见漏洞 中间件简介 中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种 软件在不同的技术之间共享资源。中间件位于客户机/ 服务器...
  • 文章目录前言0x01 漏洞说明0x02 影响版本:0x03 Weblogic环境搭建0x04 漏洞利用0x05 漏洞修复方案1.使用 Oracle 官方安全补丁进行更新修复2.如果不依赖T3协议进行JVM通信,用户可通过控制T3协议的访问来临时阻断针对...
  • 主程序:  K8Cscan 大型内网渗透自定义扫描器 ... WeblogicScan插件 K8Cscan Moudle WeblogicScan &... Exploit目前仅支持漏洞编号 CNVD-C-2019-48814 该版本为探测weblogic漏洞并自动GetShell外网可当成EXP使用...
  • 浅谈中间件漏洞与防护

    千次阅读 2018-06-23 11:52:09
    中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。那么从实际情况来看,预防这种漏洞最大的难点,在于...
  • Weblogic 未授权任意文件上传漏洞(CVE-2018-2894) 漏洞概述: -WebLogic 存在两个未授权访问页面分别为/ws_utc/begin.do,/ws_utc/config.do,通过该两个页面可以直接上传webshell. 漏洞版本: weblogic 10.3....
  • Weblogic-SSRF漏洞复现

    千次阅读 2020-08-27 10:04:26
    这两天了解的ssrf复现这个漏洞差不多了,开始进行笔迹整理: 上面一篇介绍的就是些入门的基础,让你可以更加好的去理解,更好的懂ssrf这个漏洞的原理。 0x00 到底什么是ssrf呢? SSRF(server-side request ...
1 2 3 4 5 ... 20
收藏数 575
精华内容 230
关键字:

weblogic漏洞getshell