AD

websphere渗透测试经验总结

  本文为websphere渗透测试经验总结,主要讲述如何通过websphere获取websehll,以及如何破解websphere数据源配置文件的数据库密码加密字符串。

发现目标

  在内网中,通过端口探测一般即可发现websphere应用,可以通过直接访问
url/ibm/console/logon.jsp页面打开其控制台。或者可以在开放未知服务的端口,批量探测是否存在/ibm/console/logon.jsp页面,也可以判断是否是websphere应用。

攻击点1-获取WEBSHELL

  很多内网websphere的控制台存在弱口令/默认口令,可以使用admin/admin以及webshpere/webshpere这种口令登录。通过该口令登录控制台后,可以部署war包,从而获取到WEBSHELL
  部署war包的顺序为在左侧菜单栏,选择应用程序”-“新建应用程序。然后在主页面选择新建企业应用程序,选择本地文件系统,上传本地WEBSHELL打包的war文件。然后按照该war应用,按照完毕后,回到管理页面左侧菜单栏,在应用程序类型中,选择刚安装的应用,选择启动。启动后即可访问webshell

攻击点2-获取数据库权限

  在获取到webshell后,可以读取shadow或者passwd文件,破解获取到SSH登录凭证。也可以读取shell历史命令,获取到一些敏感信息。更重要的是,可以通过读取websphere的数据源配置文件,获取到数据库连接字符串。
  数据源配置文件地址一般位于/washome/WebSphere/AppServer/profiles/AppSrv01/config/cells/********/目录下,名称为security.xml。通过查看或者下载该文件,可以获取到数据库登录的用户名和密码。
  xml文件里面有类似”JAASAuthData_1238489272531 alias=myNode01/oracleDBA userId=testbill password={xor}bm1sa2pp/>”,就是存放认证别名为oracleDBA的用户名和密码。
  密码为异或的弱加密方式,可以使用小工具或者命令恢复为明文口令。

数据库密码解密

方法1

使用在线工具进行解密:
www.sysman.nl/wasdecoder/

方法2

使用本地python脚本解密:

方法3

WAS 5.X的密码破解:
> cd $WAS_INSTALL_DIR/lib
> ../java/bin/java -cp securityimpl.jar:iwsorb.jar com.ibm.ws.security.util.PasswordDecoder {xor}bm1sa2pp

WAS 6.0的密码破解:
 > cd $WAS_INSTALL_DIR/lib
 > ../java/bin/java -cp securityimpl.jar:iwsorb.jar::ras.jar:wsexception.jar:bootstrap.jar:emf.jar:ffdc.jar com.ibm.ws.security.util.PasswordDecoder {xor}bm1sa2pp

WAS 6.1的密码破解:
> cd $WAS_INSTALL_DIR/bin\ProfileManagement\plugins\com.ibm.websphere.v61_6.1.200

> java -cp ws_runtime.jar com.ibm.ws.security.util.PasswordDecoder {xor}bm1sa2pp

评论

此博客中的热门博文

简单粗暴导出小米便签

我——终于一个人了

Ubiquiti_Networks_UniFi_Cloud_Key_authed_rce