环境配置说明网站：

Vulhub - Docker-Compose file for vulnerability environment

Weblogic 常规渗透测试环境

测试环境

本环境模拟了一个真实的weblogic环境，其后台存在一个弱口令，并且前台存在任意文件读取漏洞。分别通过这两种漏洞，模拟对weblogic场景的渗透。

Weblogic版本：10.3.6(11g)

Java版本：1.6

启动测试环境:

我已经提前将整个vulhub靶场环境拉取到本地环境了，找到此次的path环境启动即可

对应的readme.md文档中也有漏洞复现的重要步骤可以参考

docker compose up -d

首次开启环境会慢一些

弱口令

环境启动后，访问http://your-ip:7001/console，即为weblogic后台。

这里我的IP为10.9.23.233，直接访问10.9.23.233:7001/console即可访问weblogic后台

通过环境文件可知本环境存在弱口令：

• weblogic
• Oracle@123

weblogic常用弱口令： Default Passwords | CIRT.net

任意文件读取漏洞的利用

这里我们当作不知道密码

本环境前台模拟了一个任意文件下载漏洞，访问http://your-ip:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件。

直接访问http://10.9.23.233:7001/hello/file.jsp?path=/etc/passwd 会将文件进行下载，然后打开就是对应passwd文件内容

读取后台用户密文与密钥文件

weblogic密码使用AES（老版本3DES）加密，对称加密可解密，只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下，名为SerializedSystemIni.dat和config.xml，在本环境中为./security/SerializedSystemIni.dat和./config/config.xml（基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain）。

SerializedSystemIni.dat是一个二进制文件，所以一定要用burpsuite来读取，用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码，右键copy to file就可以保存成一个文件：

http://10.9.23.233:7001/hello/file.jsp?path=./security/SerializedSystemIni.dat进行抓包重放得到密文

http://10.9.23.233:7001/hello/file.jsp?path=./config/config.xml进行抓包重放得到密文

config.xml是base_domain的全局配置文件，所以乱七八糟的内容比较多，找到其中的<node-manager-password-encrypted>的值，即为加密后的管理员密码

{AES}yvGnizbUS0lga6iPA5LkrQdImFiS/DJ8Lw/yeE7Dt0k=

解密密文

然后使用本环境的decrypt目录下的weblogic_decrypt.jar，解密密文

按照给的思路进行操作，现在没有得到预设的弱口令，目前不知道是哪里的问题

这里我先直接使用弱口令直接登录进来了

登录后台。点击左侧的部署，可见一个应用列表：

点击安装，选择上传文件

上传成功

使用蚁剑进行连接，连接成功，getshell

war包制作过程参考我的这篇文章

tomcat作业漏洞复现（war包制作）