weblogic后台getshell_weblogic getshell - CSDN
精华内容
参与话题
  • 利用docker环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。...环境启动后,访问 http://192.168.0.132:7001/console 即可跳转到Weblogic后台登陆页面: 本环境...

    利用docker环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。

    分别通过这两种漏洞,模拟对weblogic场景的渗透。

    Weblogic版本:10.3.6(11g)

    Java版本:1.6

     

    弱口令

    环境启动后,访问 http://192.168.0.132:7001/console 即可跳转到Weblogic后台登陆页面:

    本环境存在弱口令:

    用户名:weblogic

    密码:Oracle@123

    weblogic常用弱口令: http://cirt.net/passwords?criteria=weblogic

    任意文件读取漏洞的利用

    假设不存在弱口令,如何对weblogic进行渗透?

    本环境前台模拟了一个任意文件下载漏洞,访问 http://192.168.0.132:7001/hello/file.jsp?path=/etc/passwd

    可见成功读取passwd文件。那么,该漏洞如何利用?

    读取后台用户密文与密钥文件

    weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密

    时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.datconfig.xml

    在本环境中为./security/SerializedSystemIni.dat./config/config.xml(基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain)。

    SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,

    用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,右键copy to file就可以保存成一个文件:

    config.xml是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的

    <node-manager-password-encrypted>的值,即为加密后的管理员密码,不要找错了:

     

    解密密文

    然后使用大佬们写的解密工具:

    可见,解密后和我预设的密码一致,说明成功。

    这里贴出工具链接:链接:https://pan.baidu.com/s/1fHdJSJMJ6qHGhvEoITMpVA
    提取码:yoy2

    后台上传webshell

    获取到管理员密码后,登录后台。点击左侧的部署,可见一个应用列表:

    点击安装,选择“上载文件”,上传war包。值得注意的是,我们平时tomcat用的war包不一定能够成功,

    你可以将你的webshell放到本项目的 web/hello.war这个压缩包中,再上传。上传成功后点下一步。


    填写应用名称:

    继续一直下一步,最后点完成。



    应用目录在war包中WEB-INF/weblogic.xml里指定(因为本测试环境已经使用了/hello这个目录,所以你要在本测试

    环境下部署shell,需要修改这个目录,比如修改成/bmjoker):

     

    上传部署war包成功后即可访问大马

    成功获取webshell

     

    提示与技巧:

    1.通过上述步骤上传的木马默认是保存在/root/Oracle/Middleware/user_projects/domains/weblogic/servers/AdminServer/upload

    2.war包制作方法jar -cvf test.war ./test/*

    3.本次使用的jsp马来自:https://www.webshell.cc/4422.html

     

    转载于:https://www.cnblogs.com/bmjoker/p/9822886.html

    展开全文
  • 本环境模拟了一个真实的 Weblogic 环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对 Weblogic 场景的渗透。 环境 版本 Weblogic 10.3.6(11g) Java 1.6 漏洞环境...

    环境搭建

    WebLogic 是美国 Oracle 公司出品的一个 Application server,确切的说是一个基于 JAVA EE 架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式 Web应用、网络应用和数据库应用的 Java应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

    本环境模拟了一个真实的 Weblogic 环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。漏洞复现的过程分别通过利用这两种漏洞获得 Weblogic 管理后台登录的账号,最终通过 Weblogic 后台应用部署功能上传War包(JSP 大马)获得 WebShell

    War 包 是用来进行 Web 开发时一个网站项目下的所有代码,包括前台HTML/CSS/JS 代码,以及后台 JavaWeb 的代码。当开发人员开发完毕时,就会将源码打包给测试人员测试,测试完后若要发布则也会打包成 War 包进行发布。Weblogic 部署 Web 应用的过程可参见:WebLogic部署Web应用并绑定域名

    环境 版本
    Weblogic 10.3.6(11g)
    Java 1.6

    漏洞环境基于 Ubuntu 虚拟机的 Vulhub 集成靶场,执行命令docker-compose up -d启动靶场容器:
    在这里插入图片描述

    后台爆破

    环境启动后,访问 http://your-ip:7001/console,即为 Weblogic 后台:
    在这里插入图片描述

    本环境存在弱口令:

    账户 密码
    weblogic Oracle@123

    成功登录 Weblogic 后台:
    在这里插入图片描述

    Weblogic 弱口令批量检测工具: WeblogicWeakPwd

    文件读取

    假设不存在弱口令,如何对 Weblogic 进行渗透?

    任意文件下载

    本环境前台模拟了一个任意文件下载漏洞,来验证一下。访问http://your-ip:7001/hello/file.jsp?path=/etc/passwd可见成功读取 passwd 文件:
    在这里插入图片描述
    下载并打开 passwd 文件:
    在这里插入图片描述或者直接 BurpSuite 读取也行:
    在这里插入图片描述
    那么,该漏洞如何进一步利用从而获得登录账户信息呢?下面将利用上述任意文件下载漏洞读取 Weblogic 后台的用户密码密文与密钥文件。

    AES密码破解

    Weblogic 密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于 base_domain下,名为 SerializedSystemIni.datconfig.xml,在本环境中为 ./security/SerializedSystemIni.dat和./config/config.xml(基于当前目录 /root/Oracle/Middleware/user_projects/domains/base_domain)。

    1、SerializedSystemIni.dat 是一个二进制文件,所以一定要用 burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在 Burp 里选中读取到的那一串乱码,右键选择 copy to file 就可以保存成一个文件:
    在这里插入图片描述2、config.xml 是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的<node-manager-password-encrypted>的值,即为加密后的管理员密码:
    在这里插入图片描述3、从 Github 下载 Weblogic 的解密工具,与上述SerializedSystemIni.dat文件一起保存到本地,如下图所示:
    在这里插入图片描述
    4、解密密文,获得 Weblogic 后台用户的密码:
    在这里插入图片描述

    后台传马

    拿到 Weblogic 后台的登录账户和密码之后,可以进入后台上传 War 木马文件获得 WebShell。

    1、输入账号名、密码登录之后进入后台管理界面 -> 部署 -> 安装:
    在这里插入图片描述2、在安装页面点击上载文件:
    在这里插入图片描述3、然后选择制作好的 war 木马文件包,点击下一步:
    在这里插入图片描述4、War 木马文件包的制作方法:准备一个 JSP 大马文件(Githhub下载)xxx.jsp,将其压缩为 test.zip,然后重命名为 test.war,test 即为部署成功大马存放的目录:
    在这里插入图片描述
    5、一直下一步(这里注意点击的是上边的下一步,不要点错了):
    在这里插入图片描述6、然后点击完成-保存:
    在这里插入图片描述在这里插入图片描述7、部署完成:
    在这里插入图片描述8、访问大马文件http://IP:7001/test/JspSpy.jsp,需要验证密码:
    在这里插入图片描述9、查看JSP大马文件JspSpy.jsp的连接密码:
    在这里插入图片描述10、成功连接大马:
    在这里插入图片描述11、使用大马进行命令执行、内网端口扫描:
    在这里插入图片描述12、最后使用大马进行内网端口扫描:
    在这里插入图片描述至此,利用 Weblogic 弱口令、任意文件下载,已成功上传大马获得 WebShell,攻击结束。

    Tomcat

    Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。

    Tomcat7 + 支持在后台部署 War 文件,可以直接将 Webshell 部署到 Web 目录下。当然,有个前提条件,那就是需要能登录后台,且对应用户有相应权限。War 包可以放在Tomcat下的 webapps 或 word 目录,当Tomcat服务器启动时,War包即会随之解压源代码来进行自动部署。

    1、假设能访问到某系统的 Tomcat 管理后台且存在弱口令,暴力破解得之:
    在这里插入图片描述2、输入弱密码 tomcat:tomcat,进入后台,找到 War 部署:
    在这里插入图片描述3、先将 jsp 大马压缩为zip,再将zip后缀改名为war,然后上传war包:
    在这里插入图片描述
    4、点击上传:
    在这里插入图片描述
    5、可以发现已经上传成功!尝试访问:http://192.168.0.132:8080/bmjoker/bmjoker.jsp,成功访问上传的 jsp 大马:
    在这里插入图片描述
    本文参考文章:

    1、Vulhub官方教程
    2、Weblogic漏洞系列-后台上传文件getshell
    3、Weblogic漏洞总结
    4、WebLogic部署Web应用并绑定域名

    展开全文
  • 【研究】weblogic漏洞系列- 弱口令和解密1.环境2.原理3.影响版本4.利用过程任意文件读取漏洞的利用webshell 1.环境 Weblogic版本:10.3.6(11g) Java版本:1.6 ...环境启动后,weblogic后台访问htt...

    1.环境

    Weblogic版本:10.3.6(11g)

    Java版本:1.6

    本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。

    环境启动后,weblogic后台访问http://ip:7001/console

    本环境存在弱口令:

    weblogic
    Oracle@123

    2.原理

    3.影响版本

    Weblogic版本:10.3.6(11g)

    4.利用过程

    环境启动后,weblogic后台访问http://ip:7001/console

    本环境存在弱口令:

    weblogic
    Oracle@123
    在这里插入图片描述
    登录进来
    在这里插入图片描述

    任意文件读取漏洞的利用

    假设不存在弱口令,如何对weblogic进行渗透?

    环境前台模拟了一个任意文件下载漏洞,访问http://IP:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件。
    在这里插入图片描述

    读取后台用户密文与密钥文件
    weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml,在本环境中为./security/SerializedSystemIni.dat和./config/config.xml(基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain)。

    SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,右键copy to file就可以保存成一个文件:
    GET /hello/file.jsp?path=./security/SerializedSystemIni.dat
    在这里插入图片描述
    在这里插入图片描述
    复制出来
    再访问
    GET /hello/file.jsp?path=./config/config.xml
    在这里插入图片描述
    最后解密
    在这里插入图片描述
    解密

    webshell

    获取到管理员密码后,登录后台。点击左侧的部署,可见一个应用列表:

    可以直接webshell

    在这里插入图片描述
    点击安装
    在这里插入图片描述
    出现上传点
    在这里插入图片描述

    上传war包。值得注意的是,我们平时tomcat用的war包不一定能够成功,你可以将你的webshell放到本项目的web/hello.war这个压缩包中,再上传。上传成功后点下一步。

    在这里插入图片描述
    继续一直下一步,最后点完成。

    在这里插入图片描述

    最后路径为 http://10.77.0.130:7001//zydx666godz/godz.jsp?o=vLogin
    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • weblogic后台上传webshell

    2019-08-10 19:02:54
    后台上传webshell 获取到管理员密码后,登录后台。点击左侧的部署,可见一个应用列表: 点击安装,选择“上载文件”: 上传war包。值得注意的是,我们平时tomcat用的war包不一定能够成功,你可以将你的webshell放到...

    后台上传webshell

    获取到管理员密码后,登录后台。点击左侧的部署,可见一个应用列表:

    点击安装,选择“上载文件”:

    上传war包。值得注意的是,我们平时tomcat用的war包不一定能够成功,你可以将你的webshell放到本项目的web/hello.war这个压缩包中,再上传。上传成功后点下一步。

    填写应用名称:

    继续一直下一步,最后点完成。

    应用目录在war包中WEB-INF/weblogic.xml里指定(因为本测试环境已经使用了/hello这个目录,所以你要在本测试环境下部署shell,需要修改这个目录,比如修改成/jspspy):

    成功获取webshell:

    制作war包
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    直接---------下一步

    192.168.88.174:7001/test/test/t.jsp
    在这里插入图片描述

    展开全文
  • Weblogic 默认弱口令汇总及上传webshell

    千次阅读 2019-02-11 12:19:29
    weblogic 默认弱口令汇总及后台getshell 漏洞概述: 弱口令,弱口令,弱口令,重要事情说三遍。 默认弱口令: 账户 密码 system password weblogic weblogic guest guest ...
  • 环境启动后,访问http://192.168.1.15:7001/console/login/LoginForm.jsp,即为weblogic后台。 本环境存在弱口令可以直接登录: weblogic Oracle@123 weblogic常用弱口令: 1. Oracle - WebLogic Method HTTP ...
  • WebLogic 12c控制台上传获取webshell

    千次阅读 2019-07-05 10:23:17
    通过弱口令weblogic/weblogic登录控制台,下一步获取如何上传webshell呢? 1、点击锁定并编辑 2、选择部署,进一步点击右边的安装    3、点击上传文件--进入文件上传界面,选择要上传的war包     ...
  • tomcat控制台上传shell 1输入用户名密码后(有些默认是admin 空密码),进入manager/html/ 2上传打包好的jsp马的war包(test.war) 3访问shell地址 /test/1.jsp ps:jsp马打包war的...
  • 获取Webshell方法总结

    千次阅读 2019-02-22 16:27:19
    本文主要在思路方面进行汇众,具体技术不讨论~ 主要分为3大类 一、CMS获取webshell 二、非CMS获取webshell 三、其他方式获取...例如phpcms拿webshell,wordpress后台getshell等   非CMS获取webshell ...
  • 1、java应用服务器  Java应用服务器主要为应用程序提供运行环境,为组件提供服务。Java 的应用服务器很多... 常见的Java服务器:Tomcat、Weblogic、JBoss、GlassFish、Jetty、Resin、IBM Websphere、Bejy Tiger、Gero
  • 浅谈中间件漏洞与防护

    千次阅读 2018-06-23 11:52:09
    中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。那么从实际情况来看,预防这种漏洞最大的难点,在于...
  • 常见中间件漏洞总结

    千次阅读 2019-01-25 16:31:58
    1. Weblogic常见漏洞 2. Tomcat常见漏洞 3. Nginx常见漏洞 4. JBOSS常见漏洞 中间件简介 中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种 软件在不同的技术之间共享资源。中间件位于客户机/ 服务器...
  • 平台安全之中间件安全

    千次阅读 2018-06-01 18:04:36
    理解中间件一次web访问的顺序,web浏览器-&gt;web服务器(狭义)-&gt;web容器-&gt;应用服务器-&gt;数据库服务器web服务器广义:提供广义web服务的软件或主机狭义:提供w3服务的软件或主机,即Web...
  • Weblogic 未授权任意文件上传漏洞(CVE-2018-2894) 漏洞概述: -WebLogic 存在两个未授权访问页面分别为/ws_utc/begin.do,/ws_utc/config.do,通过该两个页面可以直接上传webshell. 漏洞版本: weblogic 10.3....
  • 软件环境: aix 6.1+weblogic10.3+oracle11 系统每天同时在线人数100左右,数据库的数据量有多张频繁操作的表数据记录在千万以上,主要后台自动处理线程过多。 系统前段时间运行一直正常,只是从7月底出现OOM,最近...
  • 渗透测试之中间件安全

    千次阅读 2019-05-21 22:49:14
    敏感文件下载,猜后台,猜敏感文件 6.0 远程代码执行(ms-16-016) 高 提权 PUT漏洞 短文件名猜解漏洞 漏洞形成原因 此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(〜)波浪号引起的...
  • 红蓝对抗经验小结

    万次阅读 多人点赞 2020-07-18 14:22:11
    快速进入后台以及Getshell 进入网站后台 其他漏洞挖掘 权限维持 后渗透阶段(进入目标服务器后) 前言:这里的红蓝对抗不是军队之间的红蓝对抗,而是网络安全之间的红蓝对抗。因为只有知道敌人如何进攻,我们...
  • 攻击JavaWeb应用[7]-Server篇[1]

    千次阅读 2014-11-14 15:11:42
    java应用服务器 Java应用服务器主要为应用程序提供运行环境,为组件提供服务。...常见的Java服务器:Tomcat、Weblogic、JBoss、GlassFish、Jetty、Resin、IBM Websphere、Bejy Tiger、Geronimo、Jo
  • 今天上午花了两三个小时的时间,查找web工程部署到weblogic(集群)上时,需不需要自带一个weblogic.jar,以及,这个weblogic.jar到底是什么、做什么的? 在这里流水账记录一下这两三个小时我做了什么吧 0. 疑问 ...
  • 安装目录Weblogic 10.3.6安装过程(含打补丁漏洞)安装前准备安装步骤创建weblogic域配置AdminServer后台运行,并优化JVM参数打补丁过程结尾 Weblogic 10.3.6安装过程(含打补丁漏洞) 测试开发环境搭建过程中需要...
1 2 3 4 5 ... 20
收藏数 670
精华内容 268
关键字:

weblogic后台getshell