【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

  • A+
所属分类:安全文章
【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell
点击上方“公众号” 可以订阅哦!

Hello,各位小伙伴大家好~ 【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

这里是小编Monster~

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

继续来填之前漏洞复现的坑...

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

今天复现的内容是weblogic弱口令漏洞~

一起来看看吧。

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell


Part.1

漏洞说明


漏洞说明

1、weblogic

Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和 数据库应用的Java应用服务器


Weblogic常用端口为7001


2、漏洞说明

Weblogic后台地址为:

http://ip:7001/console/login/LoginForm.jsp

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

输入http://ip:7001/console会自动跳转至后台


(1)由于管理员的安全意识不强,或者配置时存在疏忽,会导致后台存在弱口令或者默认的用户名/口令。

(2)服务器存在任意文件包含、下载等漏洞时,即使后台不存在弱口令,也可以通过破解的方式获取口令。

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell


Part.2

环境搭建


搭建Vulhub

Vulhub是一个基于docker和docker-compose的漏洞环境集合,配合docker进行使用。

首先根据官网说明,安装好vulhub:

https://vulhub.org/

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell


【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell


部署漏洞环境

如果刚开机,需要先启动docker:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

之前也写过一期docker的使用方法:

【Linux】使用docker搭建Apache/Nginx服务器

可以看到vulhub中包含以下weblogic漏洞环境:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

部署弱口令漏洞环境:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

查看虚拟机状态:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

可以看到端口映射到了7001,尝试访问:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

成功,搭建完毕~

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell


Part.3

漏洞复现


弱口令登陆

Weblogic常见弱口令如下:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

通过burp抓包,设置用户名/口令为变量:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

加载用户名、口令字典:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

发现使用burp爆破会导致账号无法登陆:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

//weblogic默认的登陆尝试次数为5次,不要轻易爆破。


直接通过weblogic/[email protected]登陆后台:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell


【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell


密码破解

如果网站存在任意文件下载等漏洞,我们还可以通过破解的方式获取密码。


weblogic密码使用AES加密,AES为对称加密方式,如果找到密钥/密文即可解密。


Weblogic将用户的密文与密钥保存在本地

/root/Oracle/Middleware/user_projects/domains/base_domain文件夹中,分别为如下两个文件:

./security/SerializedSystemIni.dat  密钥

./config/config.xml                          密文


vulhub测试环境存在一个任意文件下载漏洞:

http://192.168.3.129:7001/hello/file.jsp?path=/etc/passwd

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

通过漏洞读取SerializedSystemIni.dat:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

该密钥文件为二进制文件,通过浏览器直接下载可能会引入一些干扰字符。

直接选中后右键保存至本地:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

读取./config/config.xml,找到管理员密钥:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

//找到</node-manager-password-encrypted>字段


通过解密工具进行破解,结果报错:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

可能是burp编码的问题,导致文件出错,修改编码方式为raw bytes:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

再次保存后,破解成功:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

//成功~


工具下载地址:

https://github.com/TideSec/Decrypt_Weblogic_Password



【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell


部署war包Getshell

使用上面的弱口令登陆后台:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

打开【部署】-【安装】页面:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

点击上载文件:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

先将webshell压缩成zip压缩包:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

修改后缀名为war:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

//test即为部署后的目录名

选中war包并点击下一步上传:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

上传成功,一直点击下一步:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell
【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell
【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

最后点击“完成”按钮:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

点击保存后,上传完毕:

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell
【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

尝试访问上传的webshell:

http://192.168.3.129:7001/test/shell.jsp

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell
使用冰蝎连接:
【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

完毕~


【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell


修复建议

(1)对默认的用户名/口令进行修改,防止攻击者利用初始口令进行暴力破解。

(2)系统设置强密码策略,建议用户密码采用10位以上数字加大小写字母。

(3)对密码暴力猜解行为进行图灵验证,一旦发现用户口令破解行为及时对账户进行限时封停处理。

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell


Part.4

结语


好啦,以上就是今天的全部内容了~

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

如果有问题,欢迎到公众号一名白帽的成长史留言~

Peace!【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

“在看”我吗?

【漏洞复现】Weblogic漏洞搭建与复现:弱口令与后台 Getshell

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: