Weblogic刷洞思路

Weblogic見(jiàn)的越來(lái)越多,以至于,么得感情。。。

人生若只如初見(jiàn),何事秋風(fēng)悲畫扇。。。

1、確定IP范圍

關(guān)于weblogic刷洞第一步,首先要保證手頭擁有大量的域名或IP,當(dāng)然,你敢動(dòng)全網(wǎng)當(dāng)我沒(méi)說(shuō),畢竟有號(hào)稱掃全網(wǎng)只需6分鐘的MASSCAN在那擱著呢,/手動(dòng)滑稽
然而隨著相關(guān)法律與政策的完善,各位小伙伴注意收斂。
關(guān)于這里的工具,簡(jiǎn)單說(shuō)IP段轉(zhuǎn)IP列表,域名轉(zhuǎn)IP,這些不管是離線工具還是在線工具好多都可以做到。
額,這個(gè)沒(méi)給準(zhǔn)備準(zhǔn)備專門的工具,好久前寫的個(gè)拿不出手的小腳本,僅供參考。

https://github.com/rabbitmask/IPis

2、IP存活與端口開(kāi)放檢測(cè)

因?yàn)閿?shù)據(jù)量較大,我們首先需要借助存活檢測(cè)篩選一部分?jǐn)?shù)據(jù)。
什么?不會(huì)?for循環(huán)ping到死。。。。。。。。
然后對(duì)存活的IP進(jìn)行端口開(kāi)放檢測(cè),這個(gè)大家根據(jù)需要檢測(cè)常見(jiàn)端口還是全部端口,并不推薦nmap以及masscan之類的,因?yàn)?,還是慢,這一步我們并不追求準(zhǔn)確性,要求,就是快!
像這種掃描速度控制在1s以內(nèi)的最佳,大家自行選擇。

在完成這里后我們將會(huì)獲得這么一份結(jié)果,請(qǐng)自行腦補(bǔ),數(shù)據(jù)量極大:

127.0.0.1:135
127.0.0.1:445
127.0.0.1:7001
... ...

3、Weblogic模糊識(shí)別

這個(gè)之前寫過(guò)一個(gè)多進(jìn)程模糊識(shí)別工具,其實(shí)nmap具備weblogic的識(shí)別能力,但是效率極低,所以我們這里借助默認(rèn)路徑存活檢測(cè)的方式對(duì)于大數(shù)據(jù)進(jìn)行模糊識(shí)別。
我選擇了以下路徑進(jìn)行檢測(cè),大家可根據(jù)需求增刪:

/console/login/LoginForm.jsp
/wls-wsat/CoordinatorPortType
/_async/AsyncResponseService
/ws_utc/config.do

工具地址:https://github.com/rabbitmask/WhoIsWeblogic

工具介紹:

軟件作者:Tide_RabbitMask
免責(zé)聲明:Pia!(o ‵-′)ノ”(ノ﹏<。)
本工具僅用于安全測(cè)試,請(qǐng)勿用于非法使用,要乖哦~

WhoIsWeblogic 功能特色:
    1.完善的超時(shí)處理機(jī)制
    2.多進(jìn)程任務(wù)高效并發(fā)
    3.簡(jiǎn)潔直觀的監(jiān)控界面
    4.健全的日志記錄功能
    5.健全的異常處理機(jī)制
    
WhoIsWeblogic 文件說(shuō)明:
    ipsource.txt:待讀取目標(biāo)
    ipresult.txt:已識(shí)別目標(biāo)
    WhoIsWeblogic.log:運(yùn)行日志

【軟件使用Demo】  
#WhoIsWeblogic控制臺(tái):
=========================================================================
當(dāng)前站點(diǎn):http://127.0.0.1:7001/console/login/LoginForm.jsp     狀態(tài)碼:200
當(dāng)前站點(diǎn):http://127.0.0.1:7001/wls-wsat/CoordinatorPortType    狀態(tài)碼:200
當(dāng)前站點(diǎn):http://127.0.0.1:7001/_async/AsyncResponseService     狀態(tài)碼:200
當(dāng)前站點(diǎn):http://127.0.0.1:7001/ws_utc/config.do        狀態(tài)碼:404
>>>>>任務(wù)結(jié)束
=========================================================================

    
#WhoIsWeblogic.log:
=========================================================================
2019-07-08 23:15:13,844 當(dāng)前站點(diǎn):http://127.0.0.1:7001/console/login/LoginForm.jsp  狀態(tài)碼:200

2019-07-08 23:15:13,858 當(dāng)前站點(diǎn):http://127.0.0.1:7001/wls-wsat/CoordinatorPortType 狀態(tài)碼:200

2019-07-08 23:15:13,865 當(dāng)前站點(diǎn):http://127.0.0.1:7001/_async/AsyncResponseService  狀態(tài)碼:200

2019-07-08 23:15:13,871 當(dāng)前站點(diǎn):http://127.0.0.1:7001/ws_utc/config.do 狀態(tài)碼:404
=========================================================================


#ipresult.txt:【Tips:ipresult.txt文件可直接被WeblogicScanLot調(diào)用。】
=========================================================================
127.0.0.1:7001
=========================================================================

存在誤報(bào)嗎?當(dāng)然,其實(shí)還可以通過(guò)正則對(duì)腳本進(jìn)行優(yōu)化,比如正則以下界面的返回內(nèi)容:

這里就當(dāng)留白吧,說(shuō)不定哪天有空也會(huì)增加上的說(shuō)~

4、Weblogic漏洞批量檢測(cè)

大家走到這一步,已經(jīng)拿到了一份weblogic死亡名單,首先恭喜各位,將ipresult.txt直接提交給WeblogicScanLot吧。
WeblogicScanLot系列工具是WeblogicScan2.*系列批量工具,腳本已更新至最新,支持最新CVE-2019-2725、CVE-2019-2729。

工具地址:https://github.com/rabbitmask/WeblogicScanLot

工具介紹:

軟件作者:Tide_RabbitMask
免責(zé)聲明:Pia!(o ‵-′)ノ”(ノ﹏<。)
本工具僅用于安全測(cè)試,請(qǐng)勿用于非法使用,要乖哦~
    
V2.1簡(jiǎn)介:
提供weblogic批量檢測(cè)功能,收錄幾乎全部weblogic歷史漏洞。
【沒(méi)有遇到過(guò)weblogic批量檢測(cè)工具的小朋友舉起你的爪爪!】

PS:
綜上:V2.*系列不是V1.*的升級(jí)版,只是多進(jìn)程批量版本。
對(duì)于當(dāng)個(gè)目標(biāo)站點(diǎn)的檢測(cè),依然推薦您使用V1.*系列。

V 2.*系列特色:
    1.多進(jìn)程任務(wù)高效并發(fā)
    2.簡(jiǎn)潔直觀的監(jiān)控界面
    3.健全的日志記錄功能
    4.健全的異常處理機(jī)制

V 2.*功能詳情:
    #控制臺(tái)路徑泄露
    Console  
    
    #SSRF:
    CVE-2014-4210      
    
    #JAVA反序列化
    CVE-2016-0638  
    CVE-2016-3510   
    CVE-2017-3248   
    CVE-2018-2628 
    CVE-2018-2893
    CVE-2019-2725
    CVE-2019-2729
    
    #任意文件上傳
    CVE-2018-2894   
    
    #XMLDecoder反序列化
    CVE-2017-3506
    CVE-2017-10271 
    
V 2.1更新日志:
    系列重新定義為WeblogicScanLot版本。
    新增大量成熟POC,與V1.3保持一致。
    同樣新版本完全舍棄Python2。
    日志功能重構(gòu),更加健壯實(shí)用。
    Kill舊版本window下多進(jìn)程適應(yīng)性BUG


【軟件使用Demo】
【此處只提供了本機(jī)單機(jī)掃描demo,多線程實(shí)戰(zhàn)場(chǎng)面太過(guò)血腥,請(qǐng)?jiān)诩议L(zhǎng)陪同下自行體驗(yàn)】

#控制臺(tái):
=========================================================================
__        __   _     _             _        ____
\ \      / /__| |__ | | ___   __ _(_) ___  / ___|  ___ __ _ _ __
 \ \ /\ / / _ \ '_ \| |/ _ \ / _` | |/ __| \___ \ / __/ _` | '_ \
  \ V  V /  __/ |_) | | (_) | (_| | | (__   ___) | (_| (_| | | | |
   \_/\_/ \___|_.__/|_|\___/ \__, |_|\___| |____/ \___\__,_|_| |_|
                             |___/
                             By Tide_RabbitMask | V 2.1


Welcome To WeblogicScan !!!
Whoami:rabbitmask.github.io

[*]任務(wù)加載成功,目標(biāo):127.0.0.1:7001

[*]任務(wù)檢測(cè)完成,目標(biāo):127.0.0.1:7001

>>>>>End of task

=========================================================================

#日志文件:
=========================================================================

2019-07-08 21:11:48,385 [+]The target Weblogic console address is exposed! The path is: http://127.0.0.1:7001/console/login/LoginForm.jsp Please try weak password blasting!
2019-07-08 21:11:48,385 [+]The target Weblogic UDDI module is exposed! The path is: http://127.0.0.1:7001/uddiexplorer/ Please verify the SSRF vulnerability!
2019-07-08 21:11:48,385 [-]CVE_2016_0638 not detected.
2019-07-08 21:11:48,385 [-]CVE_2016_3510 not detected.
2019-07-08 21:11:48,385 [-]CVE_2017_3248 not detected.
2019-07-08 21:11:51,024 [-]Target weblogic not detected CVE-2017-3506
2019-07-08 21:11:51,044 [-]Target weblogic not detected CVE-2017-10271
2019-07-08 21:11:51,044 [-]CVE_2018_2628 not detected.
2019-07-08 21:11:51,044 [-]CVE_2018_2893 not detected.
2019-07-08 21:11:51,054 [-]Target weblogic not detected CVE-2018-2894
2019-07-08 21:11:51,563 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2019-2725
2019-07-08 21:11:51,753 [+]Your current permission is:rabbitmask\rabbitmask
2019-07-08 21:11:54,062 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2019-2729
2019-07-08 21:11:54,062 [+]Your current permission is:  rabbitmask\rabbitmask

=========================================================================
弱口令

當(dāng)然了,既然已經(jīng)拿到了一批控制臺(tái)路徑,我們自然不會(huì)就這么毫無(wú)意義的丟過(guò)去,篩選下相關(guān)路徑來(lái)一波批量弱口令爆破吧!

https://github.com/rabbitmask/WeblogicWeakPwd

這里我給出了部分自己整理的弱口令,大家根據(jù)需求增刪。

userdict = ['WebLogic', 'weblogic', 'Oracle@123', 'password', 'system', 'Administrator', 'admin', 'security', 'joe',
                'wlcsystem', 'wlpisystem']
pwddict = ['WebLogic', 'weblogic', 'Oracle@123', 'password', 'system', 'Administrator', 'admin', 'security', 'joe',
               'wlcsystem', 'wlpisystem']

這里是一個(gè)舊版本的多進(jìn)程批量爆破工具,端口沒(méi)有和上述工具同步,大家自行優(yōu)化下吧,或者等我哪天有空更新下QAQ,思路僅供參考。

免責(zé)聲明

為了防止被吞,還是絮叨兩句吧,本工具適用于紅藍(lán)對(duì)抗、漏洞挖掘等授權(quán)行為,請(qǐng)勿用于非法用途,當(dāng)然了,兔子不提供任何EXP。

鳴謝小結(jié)

以后因?yàn)楣ぷ髡{(diào)整接觸Weblogic可能相對(duì)少一點(diǎn)了,遂將個(gè)人經(jīng)歷做了一個(gè)小結(jié),希望可以幫得到大家,感謝大家一直以來(lái)對(duì)兔子的支持,鞠躬~
另外,感謝一直為我提供POC建議的小伙伴們,感謝Tide一路陪伴,特別感謝Tide-DeceaseWolf提供的LOGO,鞠躬~

吶,晚安、世界、

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容