专栏首页小白帽学习之路Weblogic漏洞复现攻与防系列二:Weblogic后台密码破解与防护

Weblogic漏洞复现攻与防系列二:Weblogic后台密码破解与防护

注意:

本系列分享,意在大家了解漏洞,防御漏洞,在做完一个漏洞复现完成后,
请及时使用最后防御手法进行防御,或特定情况根据特定手法防御。
记住,切勿用于违法行为。

进入正题

1、后台登录地址

http://your-ip:7001/console/login/LoginForm.jsp

2、Weblogic常见弱口令总结

system:password     
weblogic:weblogic   
admin:secruity
joe:password     
mary:password    
system:sercurity
wlcsystem:wlcsystem     
weblogic:Oracle@123

参考地址:

https://cirt.net/passwords?criteria=weblogic

3、环境部署

#进入Weblogic的弱口令环境目录:

cd  vulhub-master/weblogic/weak_password

#构建服务:

sudo docker-compose build

#启动环境:

sudo docker-compose up -d

#进入网址,查看是否部署成功:

http://your-ip:7001/console/login/LoginForm.jsp

#本环境弱口令账号密码为:

账号:weblogic
密码:Oracle@123

4、漏洞复现之三个破解方式

4.1、使用Burpsuite下的Intruder模块破解

破解流程:

1、首先访问后台登录地址,输入任意账号密码,此时开启Burp Suite功能,点击登录:

2、此时已经将数据拦截下来,然后点击右键,将其转发到Intruder模块下:

3、现在数据来到了Intruder模块下,我们需要在该模块下,对数据进行构造,以便进行暴力破解。

4、首先,将Positions下将所有变量Clear$ (清空)掉,并选择想要破解的变量点击Add$按钮,我们选择账号和密码这两个变量。

5、Attack type(攻击类型):选择cluster bomb,即为交集爆破

6、进入Payload选项,设置变量。首先设置PayloadSets下的Payload set 为1(按照之前添加变量顺序来定),Payload type为Simple list,然后在下面Payload Options[Simple list]的地方点击Paste按钮,会将你复制的要破解的账号名粘贴在此处。密码变量设置如上相同,只不过要将Payload set 设为2。

7、在此例子中,我们使用前面所讲述到的常见用户名和密码:

此图为账号设置

此图为密码设置

8、现在我们已经暴力破解的数据构造好了,接下来点击右上角的Start attack按钮,来进行攻击,并观察返回结果:

9、现在我们发现有个长度跟其他的不一样数据,现在尝试去登陆一下,成功登陆,此时Burp Suite破解也告一段落了。

4.2、根据Python小脚本,来暴力破解目标账号密码

Python小脚本的暴力破解思路和前面BurpSuite下的Intruder下的破解思路是一样的。换汤不换药,只不过是多学习学习些Python脚本,从简单到复杂,多多练习,非常有益处。

4.3、配合任意文件下载/读取漏洞来破解密码

如果目标系统不存在弱口令怎么办?我们可以旁敲侧击来破解后台密码。该如何做呢,此例子是配合任意文件下载漏洞来破解后台密码。

正巧,该环境下存在一个任意文件下载漏洞,

漏洞地址:

http://your-ip:7001/hello/file.jsp?path=

现在存在一个任意文件下载漏洞,我们要如何利用呢?

  • 读取后台用户密文与密钥文件

Weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。

这两个文件均位于base_domain下,

名为SerializedSystemIni.datconfig.xml

在本环境中为

./security/SerializedSystemIni.dat

./config/config.xml文件中

基于当前目录为:

/root/Oracle/Middleware/user_projects/domains/base_domain

  • 使用工具对后台密码进行破解

最终结果如下图:

关于这个工具看文末

  • 具体操作流程:

1、使用浏览器输入任意文件下载漏洞地址

(http://your-ip:7001/hello/file.jsp?path=),

此时浏览器打开代理插件,BurpSuite打开拦截功能:

2、首先,在路径path后面输入,./security/SerializedSystemIni.dat 路径,成功拦截到包,将其转发到Repeater模块下,点击Go按钮,来读取加密密钥,返回包是一串数据,不用过多纠结,如图:

3、现在我们将这串数据保存在本地,选中数据,点击鼠标右键,点击Copy to file,选择保存路径(记住这个路径),点击保存,如图:

3、此时,加密密钥我们已经保存下来了,接下来,要寻找加密的密码了,它在

./config/config.xml文件下的<node-manager-password-encrypted>标签下,

如图:

4、现在,我们打开破解工具,具体位置上面已说到,文件处即为我们刚才保存的文件,密文即为

./config/config.xml文件下的<node-manager-password-encrypted>标签中的内容,全部输入完成后,点击确定,开始破解。

5、现在密码我们已经成功破解了。配合任意文件下载,主要是读取两个带有敏感信息的文件。现在配合任意文件下载漏洞来破解密码行动也已经结束了。

防御: 根据本次漏洞复现来说:

首先,不要使用容易被人猜解的弱口令,不要使用默认的账号密码

其次,本环境又配合了任意文件下载漏洞来破解,后台登录的账号密码,因此如果网站存在任意文件下载漏洞,一定要及时修复。

---关于工具后台发送---

decrypt

本文分享自微信公众号 - 小白帽学习之路(bat7089),作者:Power@7089

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 实战 | 记两个实战中遇见的逻辑漏洞

    http://***.test.com.cn/*/forgetPassword.html

    7089bAt@PowerLi
  • 【原创】基础篇 -- RCE漏洞总结

    本篇文章为星球团队成员原创文章,已申请原创权限,如其他公众号有需要转文,请联系信安旅程运营人员。

    7089bAt@PowerLi
  • Kali Linux Web渗透测试手册(第二版) - 5.2 - 识别跨站脚本漏洞

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,

    7089bAt@PowerLi
  • 这可能是最全的入门Web安全路线规划

    本次写的是一篇如何通过针对性系统学习Web安全或者说如何能成为一名渗透测试人员(有疑问或者错误的地方还望大家多多指正)。

    Gcow安全团队
  • 实战 | 记两个实战中遇见的逻辑漏洞

    http://***.test.com.cn/*/forgetPassword.html

    7089bAt@PowerLi
  • 实战 | 记两个实战中遇见的逻辑漏洞

    http://***.test.com.cn/*/forgetPassword.html

    天钧
  • 信息安全学习笔记——软件漏洞

    很多机器没有IIS,我们可以使用XAMPP来代替,可以从http://download.csdn.net/detail/bubujie/3772362 网站上下...

    用户1539362
  • 实战 | 记两个实战中遇见的逻辑漏洞

    http://***.test.com.cn/*/forgetPassword.html

    用户5878089
  • 白帽子兴趣消退:“泥泞中”的苹果漏洞赏金计划

    苹果发布漏洞奖励计划近一年后,却鲜有听闻已有白帽黑客领取漏洞奖励,这种“怪现象”开始导致一些常为苹果公司提交高价值漏洞的安全研究人员开始保留漏洞而不提交官方。 ...

    FB客服
  • 漏洞奖励计划初见成效:微软发现“幽灵”变体

    近日,英特尔向两位安全研究人员支付了10万美元作为漏洞奖励计划的奖金。两人发现了著名的幽灵(Spectre)漏洞的新变体,漏洞的发现者——来自麻省理工的Vlad...

    FB客服

扫码关注云+社区

领取腾讯云代金券