CVE-2019-2615[2618] 任意文件读取,任意文件上传-getshell

0X00-引言

---

买了两本书，一百多，为知识付费我开心😭

0X01-环境搭建

---

靶机：CentOS Linux 7

攻击机：windows server 2016 && Kail

环境：vulhub

项目地址：https://github.com/vulhub/vulhub

搭建vulhub请访问：空白centos7 64 搭建vulhub(详细)

0X02-漏洞描述

---

官方描述没找到

比较典型任意文件读取，文件上传

0X03-漏洞复现

---

http://192.168.234.128:7001/console/login/LoginForm.jsp

01-读取登录密码

访问http://your-ip:7001/hello/file.jsp?path=/etc/passwd可以成功获取passwd文件

weblogic密码使用AES加密，对称加密可解密，只要找到加密的密文和秘钥即可

这两个文件均位于base_domain下，名为SerializedSystemIni.dat和config.xml，在本环境中为./security/SerializedSystemIni.dat和./config/config.xml（基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain）

SerializedSystemIni.dat是一个二进制文件，用burp保存成一个.dat文件即可

获取加密密文-config.xml是base_domain的全局配置文件

<node-manager-password-encrypted>的值，即为加密后的管理员密码

工具解密：工具在靶场内

若是出现报错-是二进制秘钥存在问题秘钥

burp访问/root/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat再导出一次秘钥

若还是出现问题-这里有篇文章关于weblogic 解密的

密码知道-用户名知道-登录

username：weblogic
password：Oracle@123

02-上传马(getshell)

点击

war包存在靶场中-修改war包-先解压

修改war包中WEB-INF下的weblogic.xml文件-目录修改为shell

要传的马放进war包(我的是哥斯拉的马)

上传

一路下一步直到命名此部署-修改为shell-防止目录重合

然后下一步直到完成

上传的路径为http://192.168.234.128:7001/shell/shell.jsp

哥斯拉连接

0X04-工具检测

---

工具地址：https://github.com/Liqunkit/LiqunKit_

0X05-漏洞防御

---

升级版本

0X06-免责声明

---

仅供学习参考，切勿用于非法用途

0X07-参考

---

https://vulhub.org/#/environments/weblogic/weak_password/