一、环境配置
-
web靶机有一块NAT网卡,只需要修改这块NAT网卡的网关,IP改成与攻击机器同网段就可以了
-
到web靶机中C:/Oracle/Middleware/user_projects/domains/base_domain/bin目录下以管理员权限点击weblogic启动脚本开启weblogic服务,管理员口令是administrator/1qaz@WSX
-
关闭防火墙
二、信息收集
-
nmap扫描网段,如下图,192.168.10.130是我的武器库虚拟机的IP,128是虚拟机网关,128-254之间有两个IP136、137
-
nmap扫描一下这两个IP,如下图,两台主机均开放有135、139、445、3389、49152、49153、49154、49155端口,192.168.10.136主机还开放有80端口存在web服务、开放7001端口存在weblogic服务,weblogic版本为10.3.6.0
-
先使用fscan扫描一下这些端口,如下,fscan扫描出两个IP都疑似存在ms17-010,192.168.10.137的RDP口令为administrator/1qaz@WSX
-
使用goby扫描结果如下,同样扫描出两台主机都有ms17-010,但192.168.10.136的weblogic扫出大量高危漏洞
-
访问一下192.168.10.136的80端口,发现页面是空的,再访问一下7001端口的weblogic,界面如下
三、getshell
-
使用weblogic利用工具上传一个jsp冰蝎马,先利用rce获取系统信息,如下
-
利用该工具的文件上传功能直接将冰蝎的jsp马上传到web主机的C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\目录下,然后冰蝎访问