目前Weblogic在全球的使用量也占居前列,据统计,在全球范围内对互联网开放Weblogic服务的资产数量多达35382台,美国和中国的Weblogic的使用量接近Weblogic总使用量的70%,其中归属中国地区的资产数量为10562台。
#SSRF:
CVE-2014-4210
#JAVA反序列化:
CVE-2015-4852
CVE-2016-0638
CVE-2016-3510
CVE-2017-3248
CVE-2018-2628
CVE-2018-2893
#任意文件上传
CVE-2018-2894
#XMLDecoder反序列化:
CVE-2017-10271
CVE-2017-3506
Weblogic活跃的几个较新版本
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.1
Weblogic 12.2.1.2
Weblogic 12.2.1.3
一般默认的后台地址是:IP:7001/console/login/LoginForm.jsp
weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml
访问http://ip:7001/hello/file.jsp?path=security/SerializedSystemIni.dat,这里存在一个任意文件读取漏洞
注意:SerializedSystemIni.dat是一个二进制文件,所以一定要用burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,然后复制下来,保存到本地,并同样命名为:1.dat
访问 http://ip:7001/hello/file.jsp?path=config/config.xml,其中的<node-manager-password-encrypted>的值,即为加密后的管理员密码
这样子就获得管理员的密码了。
上传入口:域结构-部署-安装-上传文件-将此部署安装为应用程序。然后访问项目名称即可。
上传路径:域结构-部署-安装-上传文件-将此部署安装为应用程序。然后访问项目名称即可。
点击“上传文件”后跳转到下面的页面
这里注意需要上传JSP的shell,下面就需要对shell.jsp进行处理
把文件压缩
然后修改文件的扩展名为shell.war
上传shell后点击“下一步”
显示这个就表示shell上传成功了,这里还带有路径
然后就一直点击“下一步”
最后点击“完成”,这里上传shell操作就结束了。
因为这里使用的是冰蝎的马,所以就使用冰蝎连接
连接路径如下:
Weblogic除了上面演示的漏洞外,还有其他的漏洞,这里就不逐个介绍了,有兴趣的可以自行到各大技术论坛查找。
