【漏洞分析】Weblogic文件上传目录

admin

102327
文章

87
评论

2023年3月9日08:21:31评论159 views字数 5732阅读19分6秒阅读模式

网安教育

培养网络安全人才

技术交流、学习咨询

有时候拿到weblogic能命令执行，但是目标不能出网，不方便直接上线，这时就需要上个webshell来辅助后续的渗透。但是weblogic的web路径可能和常规的web系统不一样，不清楚的时候可能会一脸懵逼不知道上传到哪个目录下，以及如何访问，所以记录一下。

测试环境

这里使用vulhub中的weblogic镜像搭的环境 vulhub/weblogic:10.3.6.0-2017

为了方便起见，直接使用 java反序列化终极测试工具进行文件上传的操作。（weblogic下并不好用，可能对jboss的比较友好）

首先获取目标服务器的信息：

【漏洞分析】Weblogic文件上传目录

可知当前工作的目录为：

1/root/Oracle/Middleware/user_projects/domains/base_domain

上传文件路径

写入console images目录

这个shell不是写在AdminServer下，但是需要能访问到console

写入路径：

1/root/Oracle/Middleware/wlserver_10.3/server/lib/consoleapp/webapp/framework/skins/wlsconsole/images/shell.jsp

访问路径：

1http://ip:port/console/framework/skins/wlsconsole/images/shell.jsp

感觉weblogic这里有个缓存机制，上传或修改的文件并不会即时生效，需要重启或者删除缓存才能够生效

刚上传时访问：

【漏洞分析】Weblogic文件上传目录

重启容器后访问：

【漏洞分析】Weblogic文件上传目录

写入bea_wls_internal目录

写入路径：

1/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/6位随机字符/war/shell.jsp

访问路径：

1http://ip:port/bea_wls_internal/shell.jsp

【漏洞分析】Weblogic文件上传目录

写入wls-wsat目录

和上面的路径相似，只不过这里是wls-wsat罢了

写入路径：

1/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat/6位随机字符/war/shell.jsp

访问路径：

1http://ip:port/wls-wsat/shell.jsp

【漏洞分析】Weblogic文件上传目录

写入uddiexplorer目录

和上面的路径相似，只不过这里是uddiexplorer罢了

写入路径：

1/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/6位随机字符/war/shell.jsp

访问路径：

http://ip:port/uddiexplorer/shell.jsp

1http://ip:port/uddiexplorer/shell.jsp

这里的环境没有该目录，没有复现

写入应用安装目录

写入路径：

1/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_user/_appsdir_项目名_war/随机字符/war/shell.jsp

访问路径：

1http://ip:port/项目名/shell.jsp

【漏洞分析】Weblogic文件上传目录

shell无法访问

有时候上传的shell无法访问，大概率是因为端口不对，weblogic不同端口开放的server也不一样，找一找能访问的端口的server即可。

主要查看weblogic的配置文件：domainsbase_domainconfigconfig.xml

 1<?xml version='1.0' encoding='UTF-8'?>
 2<domain xmlns="http://xmlns.oracle.com/weblogic/domain" xmlns:sec="http://xmlns.oracle.com/weblogic/security" xmlns:wls="http://xmlns.oracle.com/weblogic/security/wls" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/security/xacml http://xmlns.oracle.com/weblogic/security/xacml/1.0/xacml.xsd http://xmlns.oracle.com/weblogic/security/providers/passwordvalidator http://xmlns.oracle.com/weblogic/security/providers/passwordvalidator/1.0/passwordvalidator.xsd http://xmlns.oracle.com/weblogic/domain http://xmlns.oracle.com/weblogic/1.0/domain.xsd http://xmlns.oracle.com/weblogic/security http://xmlns.oracle.com/weblogic/1.0/security.xsd http://xmlns.oracle.com/weblogic/security/wls http://xmlns.oracle.com/weblogic/security/wls/1.0/wls.xsd">
 3  <name>base_domain</name>
 4  <domain-version>10.3.6.0</domain-version>
 5  <security-configuration>
 6    <name>base_domain</name>
 7    <realm>
 8      <sec:authentication-provider xsi:type="wls:default-authenticatorType"></sec:authentication-provider>
 9      <sec:authentication-provider xsi:type="wls:default-identity-asserterType">
10        <sec:active-type>AuthenticatedUser</sec:active-type>
11      </sec:authentication-provider>
12      <sec:role-mapper xmlns:xac="http://xmlns.oracle.com/weblogic/security/xacml" xsi:type="xac:xacml-role-mapperType"></sec:role-mapper>
13      <sec:authorizer xmlns:xac="http://xmlns.oracle.com/weblogic/security/xacml" xsi:type="xac:xacml-authorizerType"></sec:authorizer>
14      <sec:adjudicator xsi:type="wls:default-adjudicatorType"></sec:adjudicator>
15      <sec:credential-mapper xsi:type="wls:default-credential-mapperType"></sec:credential-mapper>
16      <sec:cert-path-provider xsi:type="wls:web-logic-cert-path-providerType"></sec:cert-path-provider>
17      <sec:cert-path-builder>WebLogicCertPathProvider</sec:cert-path-builder>
18      <sec:name>myrealm</sec:name>
19      <sec:password-validator xmlns:pas="http://xmlns.oracle.com/weblogic/security/providers/passwordvalidator" xsi:type="pas:system-password-validatorType">
20        <sec:name>SystemPasswordValidator</sec:name>
21        <pas:min-password-length>8</pas:min-password-length>
22        <pas:min-numeric-or-special-characters>1</pas:min-numeric-or-special-characters>
23      </sec:password-validator>
24    </realm>
25    <default-realm>myrealm</default-realm>
26    <credential-encrypted>{AES}VDHLmpIFsxhe5+CetHjC3Du768mgXgEeInws2SytpnqhqgWkdGFks2BYtSJzE3FrrjdLjKS9w24Krv0Ong11Bogvc8rPC6HC3eqZy8X5U8/jhzgwct+ZTRgagnYCb4zy</credential-encrypted>
27    <node-manager-username>weblogic</node-manager-username>
28    <node-manager-password-encrypted>{AES}yvGnizbUS0lga6iPA5LkrQdImFiS/DJ8Lw/yeE7Dt0k=    </node-manager-password-encrypted>
29  </security-configuration>
30  <server>
31    <name>AdminServer</name>
32    <listen-address></listen-address>
33  </server>
34  <embedded-ldap>
35    <name>base_domain</name>
36    <credential-encrypted>{AES}uikbk+R+r6Vqv3OiFGQ4XnxJAHEnqFuni3K+SlgZxAsWEyIvLEi+O2omKTsWD9GW</credential-encrypted>
37  </embedded-ldap>
38  <configuration-version>10.3.6.0</configuration-version>
39  <app-deployment>
40    <name>_appsdir_hello_war</name>
41    <target>AdminServer</target>
42    <module-type>war</module-type>
43    <source-path>autodeploy/hello.war</source-path>
44    <security-dd-model>DDOnly</security-dd-model>
45    <staging-mode>stage</staging-mode>
46  </app-deployment>
47  <admin-server-name>AdminServer</admin-server-name>
48</domain>