TIDE_网络安全网络安全

Weblogic刷洞思路

2019-07-08  本文已影响83人  RabbitMask

Weblogic见的越来越多,以至于,么得感情。。。

人生若只如初见,何事秋风悲画扇。。。

1、确定IP范围

关于weblogic刷洞第一步,首先要保证手头拥有大量的域名或IP,当然,你敢动全网当我没说,毕竟有号称扫全网只需6分钟的MASSCAN在那搁着呢,/手动滑稽
然而随着相关法律与政策的完善,各位小伙伴注意收敛。
关于这里的工具,简单说IP段转IP列表,域名转IP,这些不管是离线工具还是在线工具好多都可以做到。
额,这个没给准备准备专门的工具,好久前写的个拿不出手的小脚本,仅供参考。

https://github.com/rabbitmask/IPis

2、IP存活与端口开放检测

因为数据量较大,我们首先需要借助存活检测筛选一部分数据。
什么?不会?for循环ping到死。。。。。。。。
然后对存活的IP进行端口开放检测,这个大家根据需要检测常见端口还是全部端口,并不推荐nmap以及masscan之类的,因为,还是慢,这一步我们并不追求准确性,要求,就是快!
像这种扫描速度控制在1s以内的最佳,大家自行选择。

在完成这里后我们将会获得这么一份结果,请自行脑补,数据量极大:

127.0.0.1:135
127.0.0.1:445
127.0.0.1:7001
... ...

3、Weblogic模糊识别

这个之前写过一个多进程模糊识别工具,其实nmap具备weblogic的识别能力,但是效率极低,所以我们这里借助默认路径存活检测的方式对于大数据进行模糊识别。
我选择了以下路径进行检测,大家可根据需求增删:

/console/login/LoginForm.jsp
/wls-wsat/CoordinatorPortType
/_async/AsyncResponseService
/ws_utc/config.do 

工具地址:https://github.com/rabbitmask/WhoIsWeblogic

工具介绍:

软件作者:Tide_RabbitMask
免责声明:Pia!(o ‵-′)ノ”(ノ﹏<。)
本工具仅用于安全测试,请勿用于非法使用,要乖哦~

WhoIsWeblogic 功能特色:
    1.完善的超时处理机制
    2.多进程任务高效并发
    3.简洁直观的监控界面
    4.健全的日志记录功能
    5.健全的异常处理机制
    
WhoIsWeblogic 文件说明:
    ipsource.txt:待读取目标
    ipresult.txt:已识别目标
    WhoIsWeblogic.log:运行日志

【软件使用Demo】  
#WhoIsWeblogic控制台:
=========================================================================
当前站点:http://127.0.0.1:7001/console/login/LoginForm.jsp     状态码:200
当前站点:http://127.0.0.1:7001/wls-wsat/CoordinatorPortType    状态码:200
当前站点:http://127.0.0.1:7001/_async/AsyncResponseService     状态码:200
当前站点:http://127.0.0.1:7001/ws_utc/config.do        状态码:404
>>>>>任务结束
=========================================================================

    
#WhoIsWeblogic.log:
=========================================================================
2019-07-08 23:15:13,844 当前站点:http://127.0.0.1:7001/console/login/LoginForm.jsp  状态码:200

2019-07-08 23:15:13,858 当前站点:http://127.0.0.1:7001/wls-wsat/CoordinatorPortType 状态码:200

2019-07-08 23:15:13,865 当前站点:http://127.0.0.1:7001/_async/AsyncResponseService  状态码:200

2019-07-08 23:15:13,871 当前站点:http://127.0.0.1:7001/ws_utc/config.do 状态码:404
=========================================================================


#ipresult.txt:【Tips:ipresult.txt文件可直接被WeblogicScanLot调用。】
=========================================================================
127.0.0.1:7001
=========================================================================

存在误报吗?当然,其实还可以通过正则对脚本进行优化,比如正则以下界面的返回内容:

这里就当留白吧,说不定哪天有空也会增加上的说~

4、Weblogic漏洞批量检测

大家走到这一步,已经拿到了一份weblogic死亡名单,首先恭喜各位,将ipresult.txt直接提交给WeblogicScanLot吧。
WeblogicScanLot系列工具是WeblogicScan2.*系列批量工具,脚本已更新至最新,支持最新CVE-2019-2725、CVE-2019-2729。

工具地址:https://github.com/rabbitmask/WeblogicScanLot

工具介绍:

软件作者:Tide_RabbitMask
免责声明:Pia!(o ‵-′)ノ”(ノ﹏<。)
本工具仅用于安全测试,请勿用于非法使用,要乖哦~
    
V2.1简介:
提供weblogic批量检测功能,收录几乎全部weblogic历史漏洞。
【没有遇到过weblogic批量检测工具的小朋友举起你的爪爪!】

PS:
综上:V2.*系列不是V1.*的升级版,只是多进程批量版本。
对于当个目标站点的检测,依然推荐您使用V1.*系列。

V 2.*系列特色:
    1.多进程任务高效并发
    2.简洁直观的监控界面
    3.健全的日志记录功能
    4.健全的异常处理机制

V 2.*功能详情:
    #控制台路径泄露
    Console  
    
    #SSRF:
    CVE-2014-4210      
    
    #JAVA反序列化
    CVE-2016-0638  
    CVE-2016-3510   
    CVE-2017-3248   
    CVE-2018-2628 
    CVE-2018-2893
    CVE-2019-2725
    CVE-2019-2729
    
    #任意文件上传
    CVE-2018-2894   
    
    #XMLDecoder反序列化
    CVE-2017-3506
    CVE-2017-10271 
    
V 2.1更新日志:
    系列重新定义为WeblogicScanLot版本。
    新增大量成熟POC,与V1.3保持一致。
    同样新版本完全舍弃Python2。
    日志功能重构,更加健壮实用。
    Kill旧版本window下多进程适应性BUG


【软件使用Demo】
【此处只提供了本机单机扫描demo,多线程实战场面太过血腥,请在家长陪同下自行体验】

#控制台:
=========================================================================
__        __   _     _             _        ____
\ \      / /__| |__ | | ___   __ _(_) ___  / ___|  ___ __ _ _ __
 \ \ /\ / / _ \ '_ \| |/ _ \ / _` | |/ __| \___ \ / __/ _` | '_ \
  \ V  V /  __/ |_) | | (_) | (_| | | (__   ___) | (_| (_| | | | |
   \_/\_/ \___|_.__/|_|\___/ \__, |_|\___| |____/ \___\__,_|_| |_|
                             |___/
                             By Tide_RabbitMask | V 2.1


Welcome To WeblogicScan !!!
Whoami:rabbitmask.github.io

[*]任务加载成功,目标:127.0.0.1:7001

[*]任务检测完成,目标:127.0.0.1:7001

>>>>>End of task

=========================================================================

#日志文件:
=========================================================================

2019-07-08 21:11:48,385 [+]The target Weblogic console address is exposed! The path is: http://127.0.0.1:7001/console/login/LoginForm.jsp Please try weak password blasting!
2019-07-08 21:11:48,385 [+]The target Weblogic UDDI module is exposed! The path is: http://127.0.0.1:7001/uddiexplorer/ Please verify the SSRF vulnerability!
2019-07-08 21:11:48,385 [-]CVE_2016_0638 not detected.
2019-07-08 21:11:48,385 [-]CVE_2016_3510 not detected.
2019-07-08 21:11:48,385 [-]CVE_2017_3248 not detected.
2019-07-08 21:11:51,024 [-]Target weblogic not detected CVE-2017-3506
2019-07-08 21:11:51,044 [-]Target weblogic not detected CVE-2017-10271
2019-07-08 21:11:51,044 [-]CVE_2018_2628 not detected.
2019-07-08 21:11:51,044 [-]CVE_2018_2893 not detected.
2019-07-08 21:11:51,054 [-]Target weblogic not detected CVE-2018-2894
2019-07-08 21:11:51,563 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2019-2725
2019-07-08 21:11:51,753 [+]Your current permission is:rabbitmask\rabbitmask
2019-07-08 21:11:54,062 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2019-2729
2019-07-08 21:11:54,062 [+]Your current permission is:  rabbitmask\rabbitmask

=========================================================================

免责声明

为了防止被吞,还是絮叨两句吧,本工具适用于红蓝对抗、漏洞挖掘等授权行为,请勿用于非法用途,当然了,兔子不提供任何EXP。

鸣谢小结

以后因为工作调整接触Weblogic可能相对少一点了,遂将个人经历做了一个小结,希望可以帮得到大家,感谢大家一直以来对兔子的支持,鞠躬~
另外,感谢一直为我提供POC建议的小伙伴们,感谢Tide一路陪伴,特别感谢Tide-DeceaseWolf提供的LOGO,鞠躬~

呐,晚安、世界、

上一篇下一篇

猜你喜欢

热点阅读