중국의 홍커 사이트에서 가르치는 WebLogic 공격방법이다.
자세히 공격하는 방법을 설명하고 있다.
웹로직의 관리자 포트를 확인 후 기본 계정을 찾는다는 얘기인데.. 중국어지만
사진만 보고 알 수 있을 것 같다. [자삭보안으로 필자가 최소한의 보안처리(아스키)처리함 --;]
적을 알아야 막을 수도 있다. 하지만 적이 보이지 않는다는게 더 두려울 뿐이다.
[출처] 보안 위험상 생략
hxxp://www.hackest.cn/post/94/#entrymore
此文章已发表在《黑客X档案》2008年第11期杂志上
后经作者发布在博客上,如转载请务必保留此信息!
Tomcat估计给很多人带来了N多肉鸡服务器了吧,直接扫描弱口令,进入Tomcat管理后台,上传Webshell就得到一台肉鸡服务器了,操作之简单,效率之高,实在是抓鸡必备!不过这次要介绍的是一个类似于Tomcat的JSP支持平台WebLogic漏洞的简单利用(其实也是默认口令),相比Tomcat会稍微复杂一些,不过操作起来也是比较容易的。
一、寻找目标
1、批量扫描WebLogic缺省的WEB管理端口(http为7001,https为7002),开放这两个端口的一般都是安装有WebLogic的主机。
2、Google搜索关键字“WebLogic Server Administration Console inurl:console”,URL后面是console结尾的,一般为目标。
3、IISput批量扫描,当发现HTTP banner下显示“WebLogic Server”字样的一般为使用WebLogic的网站,如图1。
二、默认口令攻击
在找到的目标URL后面加上console,回车就会自动跳转到管理登录页面。默认的缺省密码有以下几组:
1、用户名密码均为:web*****(자삭보안)
2、用户名密码均为:sy***(자삭보안)
3、用户名密码均为:portal****(자삭보안)
4、用户名密码均为:g****(자삭보안)
如果尝试完了都不能登录,可以交叉换用用户名和密码,比如用户名为web****(자삭보안),密码为sys***(자삭보안),这个可以自己灵活变通,当然也可以做个字典文件暴破。示例目标的用户名密码均为web****(자삭보안),分别在Username和Password填入web****(자삭보안),即可进入管理后台(需要安装jre,否则看不到正面介绍的内容),如图2。
然后找到“mydomain”->“Deployments”->“Web Application Modules”->“Deploy new Web Application Moudule...”,如图3。
再点选图4里的“upload your file(s)”,在跳转后的页面上传war包(war包和Tomcat弱口令利用的包一样,注意马的免杀即可),如图4、图5。
然后在upload目录下找到刚才上传的mickey.war并选中,再点击“Target Module”
,然后“Deploy”,如图6、图7。
部署完毕后就会在“Web Application Modules”下面看到mickey项,如图8。
最后就可以访问Webshell了,URL格式为:http://www.xxx.com/mickey/j1.jsp(j1.jsp为JSP后门文件名,这个是在war包里面设置的),Windows系统下为system权限,Unix/Linux下为root权限,如图9、图10。
三、攻击防范
可以防火墙设置过滤7001、7002端口,也可以设置只允许访问后台的IP列表,如果非要远程管理WebLogic,就要设置一个比较强壮的密码口令。点击“Security”->“myrealm”->“Users”->“要更改密码的用户名”,然后在“New Password”填入新密码,在“Retype to Confirm”再次填入新密码,然后“Apply”即可更改密码,如图11。
四、补充知识
在Unix/Linux系统环境下,按上述方法得到的JSP Webshell的文件列表功能不可用。除非文件位于war包之外,也就是说可以把war包内的JSP木马复制到Web服务器的另一个单独的目录里即可正常使用。
-------------------------------------------------------------
홍커가 무서운 건 실제 사이트를 대상으로 교본을 만든다는거다. ㅜㅜ
개념이 없는건가.. 쩝
[Notice: 본 글에 대하여 학습 및 보안 강화를 위해 참고하시고, 만약 악의적인 사용시 사용자 본인의 책임을 명시합니다.]
자세히 공격하는 방법을 설명하고 있다.
웹로직의 관리자 포트를 확인 후 기본 계정을 찾는다는 얘기인데.. 중국어지만
사진만 보고 알 수 있을 것 같다. [자삭보안으로 필자가 최소한의 보안처리(아스키)처리함 --;]
적을 알아야 막을 수도 있다. 하지만 적이 보이지 않는다는게 더 두려울 뿐이다.
[출처] 보안 위험상 생략
hxxp://www.hackest.cn/post/94/#entrymore
此文章已发表在《黑客X档案》2008年第11期杂志上
后经作者发布在博客上,如转载请务必保留此信息!
Tomcat估计给很多人带来了N多肉鸡服务器了吧,直接扫描弱口令,进入Tomcat管理后台,上传Webshell就得到一台肉鸡服务器了,操作之简单,效率之高,实在是抓鸡必备!不过这次要介绍的是一个类似于Tomcat的JSP支持平台WebLogic漏洞的简单利用(其实也是默认口令),相比Tomcat会稍微复杂一些,不过操作起来也是比较容易的。
一、寻找目标
1、批量扫描WebLogic缺省的WEB管理端口(http为7001,https为7002),开放这两个端口的一般都是安装有WebLogic的主机。
2、Google搜索关键字“WebLogic Server Administration Console inurl:console”,URL后面是console结尾的,一般为目标。
3、IISput批量扫描,当发现HTTP banner下显示“WebLogic Server”字样的一般为使用WebLogic的网站,如图1。
二、默认口令攻击
在找到的目标URL后面加上console,回车就会自动跳转到管理登录页面。默认的缺省密码有以下几组:
1、用户名密码均为:web*****(자삭보안)
2、用户名密码均为:sy***(자삭보안)
3、用户名密码均为:portal****(자삭보안)
4、用户名密码均为:g****(자삭보안)
如果尝试完了都不能登录,可以交叉换用用户名和密码,比如用户名为web****(자삭보안),密码为sys***(자삭보안),这个可以自己灵活变通,当然也可以做个字典文件暴破。示例目标的用户名密码均为web****(자삭보안),分别在Username和Password填入web****(자삭보안),即可进入管理后台(需要安装jre,否则看不到正面介绍的内容),如图2。
然后找到“mydomain”->“Deployments”->“Web Application Modules”->“Deploy new Web Application Moudule...”,如图3。
再点选图4里的“upload your file(s)”,在跳转后的页面上传war包(war包和Tomcat弱口令利用的包一样,注意马的免杀即可),如图4、图5。
然后在upload目录下找到刚才上传的mickey.war并选中,再点击“Target Module”
,然后“Deploy”,如图6、图7。
部署完毕后就会在“Web Application Modules”下面看到mickey项,如图8。
最后就可以访问Webshell了,URL格式为:http://www.xxx.com/mickey/j1.jsp(j1.jsp为JSP后门文件名,这个是在war包里面设置的),Windows系统下为system权限,Unix/Linux下为root权限,如图9、图10。
三、攻击防范
可以防火墙设置过滤7001、7002端口,也可以设置只允许访问后台的IP列表,如果非要远程管理WebLogic,就要设置一个比较强壮的密码口令。点击“Security”->“myrealm”->“Users”->“要更改密码的用户名”,然后在“New Password”填入新密码,在“Retype to Confirm”再次填入新密码,然后“Apply”即可更改密码,如图11。
四、补充知识
在Unix/Linux系统环境下,按上述方法得到的JSP Webshell的文件列表功能不可用。除非文件位于war包之外,也就是说可以把war包内的JSP木马复制到Web服务器的另一个单独的目录里即可正常使用。
-------------------------------------------------------------
홍커가 무서운 건 실제 사이트를 대상으로 교본을 만든다는거다. ㅜㅜ
개념이 없는건가.. 쩝
[Notice: 본 글에 대하여 학습 및 보안 강화를 위해 참고하시고, 만약 악의적인 사용시 사용자 본인의 책임을 명시합니다.]
'생각하는_보안' 카테고리의 다른 글
| How We Found the File That Was Used to Hack RSA (0) | 2011.09.18 |
|---|---|
| 매월 보안을 얘기한다. 안전한(?) 매거진 월간 安 (0) | 2011.09.07 |
| Hacker Intelligence Summary Report – The Convergence of Google and Bots (0) | 2011.09.05 |
| [자료] 1337 day (0) | 2011.08.31 |
| No Skill Hacking with BackTrack (0) | 2011.08.30 |
