在《关于WebLogic安全性探讨》和《WebLogic XMLDecoder 漏洞分析》等文章中都很详细的讲解了Weblogic存在的漏洞、利用方法以及修补措施。但是也只是停留在漏洞利用的角度来对其进行了分析,接下来我会对weblogic漏洞深入渗透利用提出几点思路,根据这几点思路大家可以对自己部署weblogic的服务器进行深入的检查。

一、Weblogic密码破解

Weblogic中的登录密码会以密文的形式存储在服务器本地,当攻击者已经获得服务器权限后可以直接访问该文件。

文件名为:config.xml

文件路径为:./config/config.xml

... <node-manager-username>weblogic</node-manager-username> <node-manager-password-encrypted>{AES}rCKfW/HFK7glAWw64jX5Uf2K9Nwz1mzL0f/4aE9uyt=</node-manager-password-encrypted> ...

在config文件中的node-manager-username节点记录了webogic用户名,node-manager-password节点记录了密码,其加密方式为AES.

除了在config文件中找到用户名和密码外,在./servers/AdminServer/security/boot.properties文件中用户名和密码都会以密文的形式存储。

获取密文后需要对加密后的密码进行解密,解密文件位于./security/SerializedSystemIni.dat

针对如何破解weblogic密码,可参考此文,破解过程中需要注意密文格式问题。

防护方式:

1、针对访问日志进行筛查,找到可疑IP地址

2、查看weblogic登录记录,是否有非法IP登录

二、稳定后门部署方式

Weblogic漏洞利用方式有以下几种:

1、利用漏洞上传小马、大马,对服务器进行控制,这种方式是现有文章中最常用的方法,此种方法是最容易发现清除的。

2、利用weblogic上的服务进行稳定控制,weblogic上常常会部署其他的业务,可根据不同业务的特点部署,例如网站服务等。

3、上传恶意软件对服务器进行控制,恶意软件通常会采用主动回连的方式进行通信。

防护方式: 

1、对Weblogic下文件夹中的不明内容进行清除,木马文件会有很明显的特征

2、筛查服务器上所有服务中是否存在可疑文件

3、检查服务器上端口开放情况,网络连接情况。特别是大端口和常用端口。

4、根据文件修改时间筛查最新修改文件

三、后台服务渗透

weblogic后台常会有数据库连接,攻击者也会利用木马尝试连接内网中的数据库。

文件名为:jdbc.xml

文件路径为:./config/jdbc/jdbc.xml

该文件夹内会有后台数据库的连接信息,例如数据库类型,连接方式,用户名和密码等等。

示例:

 <jdbc-driver-params> <url>jdbc:oracle:thin:@//192.168.120.156:1521/ORCL</url> <driver-name>oracle.jdbc.xa.client.OracleXADataSource</driver-name> <properties> <property> <name>user</name> <value>kzbigix</value> </property> </properties> <password-encrypted>{AES}mjwf4r94FDUh/UfaakINte5mMUYEX8LMKAkyTEtyusw=</password-encrypted> </jdbc-driver-params>

密码破解方式同前文所述。防范方式也基本与前文所述相同。

四、其他姿势

还有各式各样的内网渗透姿势,例如端口转发:将内网3389端口利用端口转发工具映射到外网端口,攻击者就可以直接远程桌面登录;或者是直接用工具扫描内网机器漏洞,一般内网机器漏洞修补不及时就会造成很严重的影响。

以上也只是我自己的一些思路想法(不妥之处请温柔评论),请各位大佬能够提出更多思路以方便我们对服务器防护做的更全面。

*本文原创作者:Kriston