Decrypt_Weblogic_Password-master.zip

<div align=center><img src=images/tide.png width=30% ></div> # 一文解密所有weblogic密文 **本文为Tide安全团队成员`重剑无锋`原创文章，转载请声明出处！** # 前言 关于weblogic密文的解密文章也有不少，最早看到的是之前乌云的一篇解密文章，后来oracle官方也出了解密脚本，还有国外大牛NetSPI写的工具，但经过多次试用发现并不能“通杀”式的解决所有weblogic密文，于是在查阅大量资料后整理了7种解密weblogic的方法。 # 背景 在一些hw行动中，webshell权限的分值可能还没有数据库权限的分值高，所以很多时候在拿到webshell后第一时间就是去翻配置文件找数据库连接密码，然后配置代理连接数据库截图拿分。 或者自己的weblogic由于长时间没有登录，忘记了console登录密码，这时候可能也需要对密文进行解密。 如果中间件是使用的tomcat，那么数据库连接密码一般都是明文保存在配置文件中的，但很多政府单位或大中型企业用weblogic居多，而生产环境部署的weblogic默认会对数据库连接字符串进行加密，还会对console控制台的登录账号和密码进行加密。 # weblogic加密分析 weblogic目前市面上有两种加密方式3DES和AES，这两种加密都属于对称加密，所以只要有密钥就能解出密文。 先来简单了解下3DES和AES： DES：Data Encryption Standard（数据加密标准）是一种经典的对称算法，其数据分组长度为64位，使用的密钥为64位，有效密钥长度为56位（有8位用于奇偶校验）。由IBM公司在70年代开，于1976年11月被美国国密局采用。该技术算法公开，在各行业有着广泛的应用。 3DES:由于计算机能力的飞速发展，DES的56位密钥长度显得有些太短了，已经有可能通过暴力穷举的方式对密文进行破译，于是有了3DES。3DES相当于对统一数据块采用3次DES,3次DES使用的密钥如果完全不同，则密钥长度可以达到168位，大大延长了被暴力破解的时间。 AES：Advanced Encryption Standard（高级数据加密标准），NIST（美国国家标准和技术协会）挑选出的下一代加密算法，能够抵御已知的针对 DES 算法的所有攻击，而且相比于 3DES， 它的加密效率高，安全性能高。 对加密算法感兴趣的可以看看《图解密码技术》，讲的比较通俗易懂。 其实，不懂算法也没任何关系，因为我们可以通过weblogic版本号来区分加密方式。weblogic在旧版本的加密中使用的是3DES，而在WebLogic 11gR1之后的版本中就开始使用AES进行加密。有些人对weblogic版本不太清楚，总觉得10.3.6是11g之前的老版本，其实10.3.6就是属于11g的，这个只能怪oracle发布的版本号有点乱。 大家看下这个表就能轻易看懂版本号了。 ``` WebLogic Server 12cR2（12.2.1.4）-2019年9月27日 WebLogic Server 12cR2（12.2.1.3）-2017年8月30日 WebLogic Server 12cR2（12.2.1.2）-2016年10月19日 WebLogic Server 12cR2（12.2.1.1）-2016年6月21日 WebLogic Server 12cR2（12.2.1.0）-2015年10月23日 WebLogic Server 12cR1（12.1.3）-2014年6月26日 WebLogic Server 12cR1（12.1.2）-2013年7月11日 WebLogic Server 12cR1（12.1.1）-2011年12月1日 WebLogic Server 11gR1 PS5 (10.3.6) - 2012年2月23日 WebLogic Server 11gR1 PS4 (10.3.5) - 2011年5月6日 WebLogic Server 11gR1 PS3 (10.3.4) - 2011年1月15日 WebLogic Server 11gR1 PS2 (10.3.3) - 2010年四月 WebLogic Server 11gR1 PS1 (10.3.2) - 2009年11月 ``` ----AES和3DES加密方式分割线,上面的就是AES加密，下面的就是3DES加密---- ``` WebLogic Server 11g (10.3.1) - 2009年7月 WebLogic Server 10.3 - 2008年8月 WebLogic Server 10.0 - 2007年3月 WebLogic Server 9.2.4 - 2010年7月22日 WebLogic Server 9.1 WebLogic Server 9.0 - 【Diablo】2006年11月 WebLogic Server 8.1－2003年7月发行到2004年8月为成熟版本，也已不再支持 WebLogic Server 7.0－2002年6月发行但是BEA公司推荐放弃使用。 WebLogic Server 6.1 - 从November 2006不再支持 WebLogic Server 6.0 - 2001年3月，从April 2003不再支持 WebLogic Server 5.1 -（代码名：Denali）第一个支持热部署技术的版本 WebLogic Server 4.0 - 1999年 WebLogic Tengah 3.1 - 1998年6月 WebLogic Tengah 3.0.1 - 1998年3月 WebLogic Tengah 3.0 - 1998年1月 WebLogic Tengah - 1997年11月 ``` 你说看不到版本号？也没问题，其实看下配置文件里的连接字符串，一看就能看出使用的是什么加密方式。因为在每个加密字符串前都标识了{AES}或{3DES}。 比如AES一般是这样的`{AES}ObwFrA5PSOW+/7+vgtZpxk/1Esw81ukoknfH4QUYjWY=` 3DES一般是这样的`{3DES}JMRazF/vClP1WAgy1czd2Q==` 在了解了weblogic加密方式后，我们开始对其解密。 文中涉及的所有工具和脚本都打包放在了gayhub上，方便大家下载 ``` https://github.com/TideSec/Decrypt_Weblogic_Password ``` # 解密前的准备 自己搭建weblgic环境建议使用docker，我是直接用的p神的vulhub里的weblogic环境，测试主要使用了weblogic 10.3.6版本和weblogic 12.2.1.3两个版本，docker compose在这里`https://github.com/vulhub/vulhub/tree/master/weblogic/`。 - 账号权限：weblogic或root用户权限，能查看weblogic域文件 - 密钥文件：SerializedSystemIni.dat SerializedSystemIni.dat是解密的核心文件，一般保存在weblogic域的security目录下。比如weblogic的domain目录为： ``` /root/Oracle/Middleware/user_projects/domains/base_domain/ ``` 那么SerializedSystemIni.dat文件一般在 ``` /root/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat ``` 一个domain里面只会有一个这个文件，如果一个weblogic下有多个domain,可能会出现多个`SerializedSystemIni.dat`文件，这时候可以通过find一下就可以。由于系统有个自带sample目录也有该文件，所以出现多个结果，稍微分辨一下就可以。  - 密文文件 weblogic的密文分两类，一类是数据库连接字符串，一类是console登录用户名和密码。 数据库连接字符串一般是在config/jdbc目录下的**jdbc.xml文件中:`/root/Oracle/Middleware/user_projects/domains/base_domain/config/jdbc/tide-jdbc.xml` .png) 而console登录用户名和密码一般也是在`security`目录下：`/root/Oracle/Middleware/user_projects/domains/base_domain/security/boot.properties` .png) 有了这几个文件后，便可以尝试对密文进行解密了。 # 解密方法1：官方解密方法 oracle官方给出的解密方法，但后来又莫名其妙从官方网站删掉了，且该方法需要在与WebLogic相同的domain下使用，成功率比较低。 适用场景：本地和服务器上都可以执行，但本地的话要求比较多，该方法我是直接在服务器上测试运行。 操作难易：★★★ 成功几率：★★ 推荐指数：★★ 相关工具：`https://github.com/TideSec/Decrypt_Weblogic_Password/tree/master/Tools1-decryptWLSPwd` --- WebLogic上自带了一个叫做WLST (WebLogic Scripting Tool)的脚本工具，是一种命令行脚本界面，系统管理员可以用它来监视和管理WebLogic实例和域。也就是说，除了在WebLogic管理控制后台进行操作管理外，还可以通过使用WLST以Command命令行的方式在管理控制台进行管理。而利用该工具我们可以运行python。 官方python解密脚本如下,代码出自`https://blogs.oracle.com/jiechen/entry/decrypt_encrypt_the_weblogic_password`，后来被删除。 ``` import os import weblogic.security.internal.SerializedSystemIni import weblogic.security.internal.encryption.ClearOrEncryptedService def decrypt(agileDomain, encryptedPassword): agileDomainPath = os.path.abspath(agileDomain) encrypt