type
status
date
slug
summary
tags
category
icon
password
环境:vulhub weblogic/weak_password
渗透环境
本环境使用vulhub模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。
Weblogic版本:10.3.6(11g)
Java版本:1.6
启动本环境:
1.弱口令漏洞
在http://ip:7001/console尝试登陆
弱口令
账号密码: weblogic Oracle@123
密码也可以通过2.任意文件下载漏洞得知
2. 任意文件下载漏洞
访问http://ip:7001/hello/file.jsp?path=/etc/passwd,下载到passwd文件,确认存在任意文件下载。
weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml,在本环境为./security/SerializedSystemIni.dat和./config/config.xml(基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain)。
通过链接http://ip:7001/hello/file.jsp?path=security/SerializedSystemIni.dat读取此文件,注意:SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,右键copy to file就可以保存成一个文件。
http://ip:7001/hello/file.jsp?path=config/config.xml直接在浏览器下载
下载出的config.xml内<node-manager-password-encrypted>标签下的值是加密后的密码
使用解密工具
得到账号密码