first commit

weblogic/weak_password/README.zh-cn.md

@@ -0,0 +1,86 @@
+# WebLogic 弱口令、任意文件读取与远程代码执行
+
+Oracle WebLogic Server是一个基于Java的企业级应用服务器。
+
+本环境模拟了一个真实的WebLogic环境，包含两个漏洞：后台管理控制台存在弱口令，以及前台存在任意文件读取漏洞。通过这两个漏洞，我们可以演示对WebLogic服务器的常见渗透测试场景。
+
+## 环境搭建
+
+执行如下命令启动WebLogic服务器，该服务器基于WebLogic 10.3.6（11g）和Java 1.6。
+
+```
+docker compose up -d
+```
+
+环境启动后，访问`http://your-ip:7001/console`进入WebLogic管理控制台。
+
+## 漏洞复现
+
+环境中存在以下默认凭据：
+
+- 用户名：weblogic
+- 密码：Oracle@123
+
+更多WebLogic常用默认凭据可参考：<http://cirt.net/passwords?criteria=weblogic>
+
+### 任意文件读取漏洞利用
+
+如果没有弱口令可以利用，我们如何渗透WebLogic服务器？本环境模拟了一个任意文件下载漏洞。访问`http://your-ip:7001/hello/file.jsp?path=/etc/passwd`可以验证成功读取passwd文件。
+
+要有效利用这个漏洞，我们可以通过以下步骤提取管理员密码：
+
+### 读取后台用户密文与密钥文件
+
+WebLogic的密码使用AES加密（老版本使用3DES）。由于这是对称加密，如果我们能获得密文和加密密钥，就可以解密密码。这两个文件位于base_domain目录下：
+
+- `SerializedSystemIni.dat`：加密密钥文件
+- `config.xml`：包含加密密码的配置文件
+
+在本环境中，这些文件位于：
+
+- `./security/SerializedSystemIni.dat`
+- `./config/config.xml`
+
+（相对于`/root/Oracle/Middleware/user_projects/domains/base_domain`目录）
+
+下载`SerializedSystemIni.dat`时，必须使用Burp Suite，因为这是二进制文件。直接用浏览器下载可能会引入干扰字符。在Burp Suite中，选中二进制内容并使用"Copy to File"功能正确保存：
+
+![](img/05.png)
+
+在`config.xml`中，找到`<node-manager-password-encrypted>`值，这里包含了加密后的管理员密码：
+
+![](img/06.png)
+
+### 解密密文
+
+使用环境中decrypt目录下的`weblogic_decrypt.jar`工具解密密文。如需了解如何构建自己的解密工具，可参考：<http://cb.drops.wiki/drops/tips-349.html>
+
+![](img/07.png)
+
+解密后的密码与预设密码一致，证明利用成功。
+
+### 部署WebShell
+
+获取管理员凭据后，登录管理控制台。点击左侧导航栏中的"部署"查看应用列表：
+
+![](img/01.png)
+
+点击"安装"并选择"上传文件"：
+
+![](img/02.png)
+
+上传WAR包。注意，标准的Tomcat WAR文件可能无法正常工作。你可以使用本项目中的`web/hello.war`包作为模板。上传后点击"下一步"。
+
+输入应用名称：
+
+![](img/03.png)
+
+继续完成剩余步骤，最后点击"完成"。
+
+应用路径在WAR包中的`WEB-INF/weblogic.xml`文件中指定。由于测试环境已经使用了`/hello`路径，部署shell时需要修改这个路径（例如改为`/jspspy`）：
+
+![](img/08.png)
+
+成功访问webshell：
+
+![](img/04.png)