freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

渗透测试之地基服务篇:服务攻防之中间件Weblogic(中)
2021-09-06 14:17:42

系列文章

专辑:渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。

请注意

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

名言:

你对这行的兴趣,决定你在这行的成就!

一、前言

中间件是介于应用系统和系统软件之间的一类软件,它使用系统软件所提供的基础服务(功能),衔接网络上应用系统的各个部分或不同的应用,能够达到资源共享、功能共享的目的。

可想而知中间件连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,中间件的安全稳定运行也直接决定着业务系统能否正常使用。并且平台的中间件中往往连接数据库,而数据库储存着等极其重要和敏感的信息。如果中间件被攻破,这些信息一旦被篡改或者泄露,轻则造成企业经济损失,重则影响企业形象,甚至行业、社会安全。可见,数据库安全至关重要。所以对数据库的保护是一项必须的,关键的,重要的工作任务。

通过前几期钓鱼、内网攻防篇章落幕后,引来了服务攻防篇章之数据库渗透篇,不管在外网还是内网环境,只要存在业务系统都存在数据库,在渗透测试对数据库的知识学习是必不可少的,接下来将介绍数据库的渗透基本操作,带小伙伴们了解和学习数据库如何渗透的!

今天会讲解到学习WebLogic Server 12.1.3详细安装、Weblogic 任意文件上传漏洞(CVE-2018-2894)、Weblogic SSRF漏洞(CVE-2014-4210)、Weblogic 弱口令 && 后台getshell等渗透操作等,最后远程代码执行控制服务器等操作,如果连Weblogic都不会安装操作提权等,怎么进行下一步的研究Weblogic安全!怎么拿下对方服务器?

二、WebLogic渗透攻防详解

1、WebLogic Server 12.1.3详细安装

1630909090_6135b2a2c1928c7e01f14.png!small?1630909092562

安装的时候将Weblogic放在Java JDK的bin目录下,防止出现因环境变量带空格导致的错误,安装过程一直点击下一步即可:
1630909094_6135b2a697cf217e5e436.png!small?1630909102649

1630909098_6135b2aa8244a194f3e0d.png!small?1630909102649


java -jar fmw_12.1.3.0.0_wls.jar

1630909104_6135b2b0cfba69c2de83b.png!small?1630909107090

安装域:

1)在电脑上找到Configuration Wizard
1630909109_6135b2b547d1f1bde81d3.png!small?1630909110283

2)双击运行后,选择第一项,下一步
1630909113_6135b2b9d06ffe0528641.png!small?1630909115026

C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain

3)使用默认选项,下一步
1630909118_6135b2be7693067c62d5e.png!small?1630909124469

4)填写安装weblogic时的账户名和密码,下一步
1630909121_6135b2c1bf5ecf3ea81d1.png!small?1630909124469

5)默认下一步
1630909125_6135b2c5b865f6eb19b94.png!small?1630909128311

6)选择管理和节点,下一步
1630909131_6135b2cb69bb3eb4e9c8f.png!small?1630909132880

7)下一步
1630909135_6135b2cf5bd8ab207a074.png!small?1630909141654

8)输入用户名密码下一步
1630909139_6135b2d3129af992cd89a.png!small?1630909141654

9)默认点击创建
1630909143_6135b2d769f5da9ede2b7.png!small?1630909145792

10)等待完成下一步
1630909146_6135b2dae09366b6b4c6d.png!small?1630909149065

11)完成!
1630909150_6135b2de72a9ad49e6979.png!small?1630909152521

启动:

进入:
1630909154_6135b2e2730124b6208b1.png!small?1630909157386

C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain

双击运行!

登录:
1630909158_6135b2e65a1fcaa7f4fcd.png!small?1630909159551
正常访问!!

2、Weblogic 任意文件上传漏洞(CVE-2018-2894)

1)漏洞简介

Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在”生产模式”下默认不开启,所以该漏洞有一定限制。

影响版本:

10.3.6
12.1.3
12.2.1.2
12.2.1.3

2)自搭环境注意

注意:我们前面默认安装是开发模式!此漏洞也是在开发模式下复现的,若需在生产模式下进行复现,则需要登录后台页面,点击base_domain的配置,在”高级”设置中 开启 “启用 Web 服务测试页” 选项,经过我的验证发现开启之后,不仅需要账号密码登陆,即使登陆了也没有这两处上传点。

1630909164_6135b2ec581138445017c.png!small?1630909168111

3)本地漏洞复现

(1)WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为:

/ws_utc/begin.do
/ws_utc/config.do

访问ws_utc/config.do,设置Work Home Dir为ws_utc应用的静态文件css目录

C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls_12.1.3\cmprq0\war\css

1630909169_6135b2f1ab6a43f99484a.png!small?16309091703011630909173_6135b2f54135f95dbe73f.png!small?1630909173466

因为访问这个目录是无需权限的,提交后,点击左侧安全 -> 添加,然后上传Webshell:
1630909177_6135b2f9638ab70b76cc4.png!small?1630909177773

1630909180_6135b2fc87bff97ec7dff.png!small?1630909180869


(2)格式
1630909184_6135b300b49c7f7446617.png!small?1630909185815

然后访问

http://127.0.0.1:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]

即可执行webshell:

1630909188_6135b304e35c20eda98bc.png!small?1630909189056

http://192.168.253.97:7001/ws_utc/css/config/keystore/1619702162109_JspSpy.jsp

输入密码:ninty
1630909192_6135b308d438fd7554c88.png!small?1630909194322

上传一句话:
1630909197_6135b30d07f96c89a79f3.png!small?1630909197676

4)vulhub漏洞复现

(1)查看登录密码
1630909200_6135b310dd96683d35b7c.png!small?1630909201656

sudo docker-compose logs | grep password

密码为:87Bhsff9

(2)启用 Web 服务测试页

本文作者:, 属于FreeBuf原创奖励计划,未经许可禁止转载

# 渗透测试
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑