web渗透之发现内网有大鱼
字数 1262 2025-08-18 17:33:40

Web渗透实战:内网渗透与Weblogic漏洞利用

信息收集阶段

目标识别

  • 目标IP: xx.xx.xx.xx
  • 端口扫描结果:
    • 7001/http (Weblogic默认管理端口)
    • 8080/http
    • 9001/http
    • 9090/websm

初步分析

  • 只有7001端口可访问
  • 识别为Weblogic服务器
  • Weblogic近年来存在大量漏洞,是重点攻击面

Weblogic漏洞利用

攻击尝试

  1. 弱口令测试:尝试常见Weblogic默认凭证组合,未成功
  2. 反序列化漏洞利用
    • 使用专业工具测试反序列化漏洞
    • 确认存在CVE-2019-2725漏洞

成功获取Shell

  • Webshell地址:http://xx.xx.xx.xx./webshell.jsp?pwd=111&cmd=whoami
  • 验证命令执行:whoami确认权限

内网渗透

网络环境分析

  • 目标机器无法出网(无互联网连接)
  • 内网规模:约100多台机器

权限维持

  • 上传冰蝎(Behinder)Webshell,便于后续管理
    • 冰蝎是常见的加密Webshell管理工具

内网资产发现

  1. 本机信息收集

    • 网站路径:/scpappbin/oracle/Middleware/user_projects/domains/ws_test/servers/AdminServer/tmp/_WL_internal/uddiexplorer/5f6ebw/war/

  2. 内网扫描

    • 尝试永恒之蓝(MS17-010)漏洞扫描,未发现易受攻击主机
    • 扫描开放80端口的机器,寻找Web应用突破口

技术要点总结

关键漏洞

  • CVE-2019-2725:Weblogic反序列化远程代码执行漏洞
    • 影响版本:WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3
    • 利用方式:通过XMLDecoder反序列化实现RCE

工具使用

  1. 反序列化检测工具:文中提到的"神器"可能指ysoserial或其他Weblogic漏洞检测工具
  2. 内网代理:上传代理脚本建立内网通道
  3. 冰蝎(Behinder):加密Webshell管理工具

内网渗透技巧

  • 出网限制下的操作:通过上传工具到目标服务器执行
  • 横向移动策略:
    • 先扫描常见漏洞(如永恒之蓝)
    • 再扫描Web服务寻找突破口
    • 注意内网扫描时的隐蔽性和稳定性(文中提到扫描线程问题)

后续思路

  1. Web应用深入:对发现的80端口服务进行深入测试
  2. 权限提升:在当前服务器上寻找提权机会
  3. 域渗透:评论中提到的172.17.100.84可能是域控线索
  4. 持久化:建立更稳定的内网通道

防御建议

  1. Weblogic防护

    • 及时安装补丁
    • 限制XMLDecoder的使用
    • 修改默认端口和管理路径

  2. 内网防护

    • 网络分段隔离
    • 关键系统补丁及时更新
    • 监控异常内网流量

  3. 检测措施

    • Webshell检测
    • 异常进程监控
    • 反序列化攻击检测

本案例展示了从外网Web漏洞到内网渗透的完整链条,强调了中间件安全配置和内网防护的重要性。

Web渗透实战:内网渗透与Weblogic漏洞利用 信息收集阶段 目标识别 目标IP: xx.xx.xx.xx 端口扫描结果: 7001/http (Weblogic默认管理端口) 8080/http 9001/http 9090/websm 初步分析 只有7001端口可访问 识别为Weblogic服务器 Weblogic近年来存在大量漏洞,是重点攻击面 Weblogic漏洞利用 攻击尝试 弱口令测试 :尝试常见Weblogic默认凭证组合,未成功 反序列化漏洞利用 : 使用专业工具测试反序列化漏洞 确认存在CVE-2019-2725漏洞 成功获取Shell Webshell地址: http://xx.xx.xx.xx./webshell.jsp?pwd=111&cmd=whoami 验证命令执行: whoami 确认权限 内网渗透 网络环境分析 目标机器无法出网(无互联网连接) 内网规模:约100多台机器 权限维持 上传冰蝎(Behinder)Webshell,便于后续管理 冰蝎是常见的加密Webshell管理工具 内网资产发现 本机信息收集 : 网站路径: /scpappbin/oracle/Middleware/user_projects/domains/ws_test/servers/AdminServer/tmp/_WL_internal/uddiexplorer/5f6ebw/war/ 内网扫描 : 尝试永恒之蓝(MS17-010)漏洞扫描,未发现易受攻击主机 扫描开放80端口的机器,寻找Web应用突破口 技术要点总结 关键漏洞 CVE-2019-2725 :Weblogic反序列化远程代码执行漏洞 影响版本:WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3 利用方式:通过XMLDecoder反序列化实现RCE 工具使用 反序列化检测工具 :文中提到的"神器"可能指ysoserial或其他Weblogic漏洞检测工具 内网代理 :上传代理脚本建立内网通道 冰蝎(Behinder) :加密Webshell管理工具 内网渗透技巧 出网限制下的操作:通过上传工具到目标服务器执行 横向移动策略: 先扫描常见漏洞(如永恒之蓝) 再扫描Web服务寻找突破口 注意内网扫描时的隐蔽性和稳定性(文中提到扫描线程问题) 后续思路 Web应用深入 :对发现的80端口服务进行深入测试 权限提升 :在当前服务器上寻找提权机会 域渗透 :评论中提到的172.17.100.84可能是域控线索 持久化 :建立更稳定的内网通道 防御建议 Weblogic防护 : 及时安装补丁 限制XMLDecoder的使用 修改默认端口和管理路径 内网防护 : 网络分段隔离 关键系统补丁及时更新 监控异常内网流量 检测措施 : Webshell检测 异常进程监控 反序列化攻击检测 本案例展示了从外网Web漏洞到内网渗透的完整链条,强调了中间件安全配置和内网防护的重要性。