首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >闪石星曜CyberSecurity >Weblogic漏洞复现攻与防系列二:Weblogic后台密码破解与防护

Weblogic漏洞复现攻与防系列二:Weblogic后台密码破解与防护

作者头像
Power7089
发布2020-02-17 12:01:19
2.3K0
发布2020-02-17 12:01:19
举报

注意:

本系列分享,意在大家了解漏洞,防御漏洞,在做完一个漏洞复现完成后,
请及时使用最后防御手法进行防御,或特定情况根据特定手法防御。
记住,切勿用于违法行为。

进入正题

1、后台登录地址

http://your-ip:7001/console/login/LoginForm.jsp

2、Weblogic常见弱口令总结

system:password     
weblogic:weblogic   
admin:secruity
joe:password     
mary:password    
system:sercurity
wlcsystem:wlcsystem     
weblogic:Oracle@123

参考地址:

https://cirt.net/passwords?criteria=weblogic

3、环境部署

#进入Weblogic的弱口令环境目录:

cd  vulhub-master/weblogic/weak_password

#构建服务:

sudo docker-compose build

#启动环境:

sudo docker-compose up -d

#进入网址,查看是否部署成功:

http://your-ip:7001/console/login/LoginForm.jsp

#本环境弱口令账号密码为:

账号:weblogic
密码:Oracle@123

4、漏洞复现之三个破解方式

4.1、使用Burpsuite下的Intruder模块破解

破解流程:

1、首先访问后台登录地址,输入任意账号密码,此时开启Burp Suite功能,点击登录:

2、此时已经将数据拦截下来,然后点击右键,将其转发到Intruder模块下:

3、现在数据来到了Intruder模块下,我们需要在该模块下,对数据进行构造,以便进行暴力破解。

4、首先,将Positions下将所有变量Clear$ (清空)掉,并选择想要破解的变量点击Add$按钮,我们选择账号和密码这两个变量。

5、Attack type(攻击类型):选择cluster bomb,即为交集爆破

6、进入Payload选项,设置变量。首先设置PayloadSets下的Payload set 为1(按照之前添加变量顺序来定),Payload type为Simple list,然后在下面Payload Options[Simple list]的地方点击Paste按钮,会将你复制的要破解的账号名粘贴在此处。密码变量设置如上相同,只不过要将Payload set 设为2。

7、在此例子中,我们使用前面所讲述到的常见用户名和密码:

此图为账号设置

此图为密码设置

8、现在我们已经暴力破解的数据构造好了,接下来点击右上角的Start attack按钮,来进行攻击,并观察返回结果:

9、现在我们发现有个长度跟其他的不一样数据,现在尝试去登陆一下,成功登陆,此时Burp Suite破解也告一段落了。

4.2、根据Python小脚本,来暴力破解目标账号密码

Python小脚本的暴力破解思路和前面BurpSuite下的Intruder下的破解思路是一样的。换汤不换药,只不过是多学习学习些Python脚本,从简单到复杂,多多练习,非常有益处。

4.3、配合任意文件下载/读取漏洞来破解密码

如果目标系统不存在弱口令怎么办?我们可以旁敲侧击来破解后台密码。该如何做呢,此例子是配合任意文件下载漏洞来破解后台密码。

正巧,该环境下存在一个任意文件下载漏洞,

漏洞地址:

http://your-ip:7001/hello/file.jsp?path=

现在存在一个任意文件下载漏洞,我们要如何利用呢?

  • 读取后台用户密文与密钥文件

Weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。

这两个文件均位于base_domain下,

名为SerializedSystemIni.datconfig.xml

在本环境中为

./security/SerializedSystemIni.dat

./config/config.xml文件中

基于当前目录为:

/root/Oracle/Middleware/user_projects/domains/base_domain

  • 使用工具对后台密码进行破解

最终结果如下图:

关于这个工具看文末

  • 具体操作流程:

1、使用浏览器输入任意文件下载漏洞地址

(http://your-ip:7001/hello/file.jsp?path=),

此时浏览器打开代理插件,BurpSuite打开拦截功能:

2、首先,在路径path后面输入,./security/SerializedSystemIni.dat 路径,成功拦截到包,将其转发到Repeater模块下,点击Go按钮,来读取加密密钥,返回包是一串数据,不用过多纠结,如图:

3、现在我们将这串数据保存在本地,选中数据,点击鼠标右键,点击Copy to file,选择保存路径(记住这个路径),点击保存,如图:

3、此时,加密密钥我们已经保存下来了,接下来,要寻找加密的密码了,它在

./config/config.xml文件下的<node-manager-password-encrypted>标签下,

如图:

4、现在,我们打开破解工具,具体位置上面已说到,文件处即为我们刚才保存的文件,密文即为

./config/config.xml文件下的<node-manager-password-encrypted>标签中的内容,全部输入完成后,点击确定,开始破解。

5、现在密码我们已经成功破解了。配合任意文件下载,主要是读取两个带有敏感信息的文件。现在配合任意文件下载漏洞来破解密码行动也已经结束了。

防御: 根据本次漏洞复现来说:

首先,不要使用容易被人猜解的弱口令,不要使用默认的账号密码

其次,本环境又配合了任意文件下载漏洞来破解,后台登录的账号密码,因此如果网站存在任意文件下载漏洞,一定要及时修复。

---关于工具后台发送---

decrypt

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2020-02-01,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 小白帽学习之路 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档