Weblogic漏洞复现攻与防系列二：Weblogic后台密码破解与防护

注意：

本系列分享，意在大家了解漏洞，防御漏洞，在做完一个漏洞复现完成后，
请及时使用最后防御手法进行防御，或特定情况根据特定手法防御。
记住，切勿用于违法行为。

进入正题

1、后台登录地址

http://your-ip:7001/console/login/LoginForm.jsp

2、Weblogic常见弱口令总结

system:password     
weblogic:weblogic   
admin:secruity
joe:password     
mary:password    
system:sercurity
wlcsystem:wlcsystem     
weblogic:Oracle@123

参考地址：

https://cirt.net/passwords?criteria=weblogic

3、环境部署

#进入Weblogic的弱口令环境目录：

cd  vulhub-master/weblogic/weak_password

#构建服务：

sudo docker-compose build

#启动环境：

sudo docker-compose up -d

#进入网址，查看是否部署成功：

http://your-ip:7001/console/login/LoginForm.jsp

#本环境弱口令账号密码为：

账号：weblogic
密码：Oracle@123

4、漏洞复现之三个破解方式

4.1、使用Burpsuite下的Intruder模块破解

破解流程：

1、首先访问后台登录地址，输入任意账号密码，此时开启Burp Suite功能，点击登录：

2、此时已经将数据拦截下来，然后点击右键，将其转发到Intruder模块下：

3、现在数据来到了Intruder模块下，我们需要在该模块下，对数据进行构造，以便进行暴力破解。

4、首先，将Positions下将所有变量Clear$ （清空）掉，并选择想要破解的变量点击Add$按钮，我们选择账号和密码这两个变量。

5、Attack type（攻击类型）：选择cluster bomb，即为交集爆破

6、进入Payload选项，设置变量。首先设置PayloadSets下的Payload set 为1（按照之前添加变量顺序来定），Payload type为Simple list，然后在下面Payload Options[Simple list]的地方点击Paste按钮，会将你复制的要破解的账号名粘贴在此处。密码变量设置如上相同，只不过要将Payload set 设为2。

7、在此例子中，我们使用前面所讲述到的常见用户名和密码：

此图为账号设置

此图为密码设置

8、现在我们已经暴力破解的数据构造好了，接下来点击右上角的Start attack按钮，来进行攻击，并观察返回结果：

9、现在我们发现有个长度跟其他的不一样数据，现在尝试去登陆一下，成功登陆，此时Burp Suite破解也告一段落了。

4.2、根据Python小脚本，来暴力破解目标账号密码

Python小脚本的暴力破解思路和前面BurpSuite下的Intruder下的破解思路是一样的。换汤不换药，只不过是多学习学习些Python脚本，从简单到复杂，多多练习，非常有益处。

4.3、配合任意文件下载/读取漏洞来破解密码

如果目标系统不存在弱口令怎么办？我们可以旁敲侧击来破解后台密码。该如何做呢，此例子是配合任意文件下载漏洞来破解后台密码。

正巧，该环境下存在一个任意文件下载漏洞，

漏洞地址：

http://your-ip:7001/hello/file.jsp?path=

现在存在一个任意文件下载漏洞，我们要如何利用呢？

• 读取后台用户密文与密钥文件

Weblogic密码使用AES（老版本3DES）加密，对称加密可解密，只需要找到用户的密文与加密时的密钥即可。

这两个文件均位于base_domain下，

名为SerializedSystemIni.dat和config.xml，

在本环境中为

./security/SerializedSystemIni.dat

和

./config/config.xml文件中

基于当前目录为：

/root/Oracle/Middleware/user_projects/domains/base_domain

• 使用工具对后台密码进行破解

最终结果如下图：

关于这个工具看文末

• 具体操作流程：

1、使用浏览器输入任意文件下载漏洞地址

（http://your-ip:7001/hello/file.jsp?path=），

此时浏览器打开代理插件，BurpSuite打开拦截功能：

2、首先，在路径path后面输入，./security/SerializedSystemIni.dat 路径，成功拦截到包，将其转发到Repeater模块下，点击Go按钮，来读取加密密钥，返回包是一串数据，不用过多纠结，如图：

3、现在我们将这串数据保存在本地，选中数据，点击鼠标右键，点击Copy to file，选择保存路径（记住这个路径），点击保存，如图：

3、此时，加密密钥我们已经保存下来了，接下来，要寻找加密的密码了，它在

./config/config.xml文件下的<node-manager-password-encrypted>标签下，

如图：

4、现在，我们打开破解工具，具体位置上面已说到，文件处即为我们刚才保存的文件，密文即为

./config/config.xml文件下的<node-manager-password-encrypted>标签中的内容，全部输入完成后，点击确定，开始破解。

5、现在密码我们已经成功破解了。配合任意文件下载，主要是读取两个带有敏感信息的文件。现在配合任意文件下载漏洞来破解密码行动也已经结束了。

防御： 根据本次漏洞复现来说：

首先，不要使用容易被人猜解的弱口令，不要使用默认的账号密码

其次，本环境又配合了任意文件下载漏洞来破解，后台登录的账号密码，因此如果网站存在任意文件下载漏洞，一定要及时修复。

---关于工具后台发送---

decrypt