搭建WebLogic12.2.1.3.0(CVE_2018_2894 漏洞)的靶机_计算机靶机
赞
踩
因为淋过雨,所以想给别人撑伞
文章目录
- 前言
- 一、靶机是什么
- 二、安装 WebLogic
- (一)WebLogic 是什么
- (二)安装 JDK
- 1、下载 JDK 1.8(官网地址:[https://www.oracle.com/java/technologies/downloads/#license-lightbox](https://www.oracle.com/java/technologies/downloads/#license-lightbox))
- 2、复制下载完的 JDK 到 28 靶机中
- 3、双击安装
- 4、默认下一步
- 5、一般默认在 C 盘。可以更改路径,但是需要记住,否则后续配置环境变量找不到安装路径
- 6、安装 JDK 途中会弹出要安装 jre,其实安装与否都可以,因为 JDK 本身也包含了 jre ,我这里选择不安装
- 7、安装 JDK 完成,下一步配置环境变量
- 8、由于 28 靶机桌面没有“计算机”图标,需鼠标右键,“个性化”-“更改桌面图标”-勾选“计算机”并应用即可
- 9、右键“计算机”-“属性”-“高级系统设置”-“环境变量”
- 10、新增系统变量的变量名为“JAVA_HOME”,变量值为“C:\Program Files\Java\jdk-1.8”( JDK 安装时的路径)
- 11、编辑系统变量“Path”,添加 %JAVA_HOME%\bin 和 %JAVA_HOME%\jre\bin (路径之间用分号隔开)
- 12、验证 JAVA 环境是否配置成功
- (三)安装 WebLogic
- 1、下载 WebLogic12.2.1.3.0(官网地址:[https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html#license-lightbox](https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html#license-lightbox))
- 2、下载下来是 zip 的压缩包,因虚拟机没有解压软件,先在本地解压完再上传 jar 包至 28靶机
- 3、以管理员权限运行 cmd
- 4、切换至 jar 的目录下,输入命令 java -jar fmw_12.2.1.3.0_wls.jar 安装
- 5、弹出 WebLogic 的安装界面,默认下一步
- 6、默认跳过更新
- 7、路径不变,默认下一步(后续上传 POC马 需用到路径)
- 8、默认选择 WebLogic Server,下一步
- 9、检查项的 JDK 版本需通过,否则安装成功无法配置(最低要求是 1.8)
- 10、默认安装
- 11、安装完成下一步,勾选“自动启动配置向导”
- 12、进行配置,默认下一步
- 13、勾选所有模板的选项
- 14、根据自己需求设置密码(后续登录页面需要)
- 15、默认下一步
- 16、勾选所有选项
- 17、此时 7001 端口出现,默认下一步
- 18、输入用户名和密码
- 19、默认下一步
- 20、点击“创建”,等待创建完成后下一步
- 21、勾选“启动管理服务器”
- 22、开放了 7001 端口,访问 http:// 靶机IP :7001/ 页面出现 404 证明成功了。至此WebLogic 安装及配置都完成
- 三、扫描 28靶机IP 暴露出 CVE_2018_2894 漏洞
- 可能遇到的问题
- 总结
前言
上一篇介绍了虚拟机如何创建以及 VM Tools工具的安装。以上篇为基础,新建了两台 win7 虚拟机分别为 28 靶机和 30 攻击机( 28 和 30 是 IP )。本篇搭建 28 靶机,安装和配置 Weblogic 12.2.1.3.0 软件和开放7001 端口,暴露出 WebLogic 12.2.1.3.0版本的漏洞(目前已修复),便于后续 30 攻击机进行测试。
暴露的漏洞有:CVE_2018_2894(GPT解释如下)
一、靶机是什么
靶机(Target Machine)是指用于模拟攻击目标的计算机系统。在计算机网络安全领域中,攻击者通常会使用靶机来模拟对真实目标系统的攻击,以便进行漏洞扫描、渗透测试、攻击技术验证等活动。
靶机可以是一个软件程序或者一个物理计算机系统,其目的是提供一个容易受到攻击的环境,以供攻击者进行各种攻击和漏洞利用的实验和测试。使用靶机可以帮助安全专业人员了解攻击者的攻击方法和技术,提高对安全威胁的识别和防御能力。
同时,使用靶机进行攻击测试也可以帮助安全专业人员评估系统的安全性,发现并修复可能存在的漏洞和弱点。因此,靶机是计算机安全领域中非常重要的一个工具。
本篇制作的28靶机需具备的软件:WebLogic12.2.1.3.0、JDK 1.8、VM Tools(已装)。
二、安装 WebLogic
(一)WebLogic 是什么
WebLogic 是一种 Java 应用程序服务器,它由 Oracle 公司开发和维护。它提供了一种基于 Java EE(Java Enterprise Edition)的平台,用于构建、部署和管理企业级 Java 应用程序。WebLogic 服务器支持多种操作系统和开发环境,并提供了一系列的工具和 API,用于构建高性能、可扩展和可靠的企业级应用程序。
故,安装 WebLogic 需要在 JAVA 环境进行,下一步将安装并配置 JAVA 的环境变量。
(二)安装 JDK
1、下载 JDK 1.8(官网地址:https://www.oracle.com/java/technologies/downloads/#license-lightbox)
下载JDK需要登录Oracle账号方能下载,如果没有账号请自行注册。如果不想麻烦,用博主的链接下载也可以(https://www.aliyundrive.com/s/h8WHy9jB2sp),SHA-1:78a6e75bce2557caa3bca13997769baa2d02119b。
2、复制下载完的 JDK 到 28 靶机中
3、双击安装
4、默认下一步
5、一般默认在 C 盘。可以更改路径,但是需要记住,否则后续配置环境变量找不到安装路径
6、安装 JDK 途中会弹出要安装 jre,其实安装与否都可以,因为 JDK 本身也包含了 jre ,我这里选择不安装
7、安装 JDK 完成,下一步配置环境变量
8、由于 28 靶机桌面没有“计算机”图标,需鼠标右键,“个性化”-“更改桌面图标”-勾选“计算机”并应用即可
9、右键“计算机”-“属性”-“高级系统设置”-“环境变量”
10、新增系统变量的变量名为“JAVA_HOME”,变量值为“C:\Program Files\Java\jdk-1.8”( JDK 安装时的路径)
11、编辑系统变量“Path”,添加 %JAVA_HOME%\bin 和 %JAVA_HOME%\jre\bin (路径之间用分号隔开)
12、验证 JAVA 环境是否配置成功
(三)安装 WebLogic
1、下载 WebLogic12.2.1.3.0(官网地址:https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html#license-lightbox)
2、下载下来是 zip 的压缩包,因虚拟机没有解压软件,先在本地解压完再上传 jar 包至 28靶机
3、以管理员权限运行 cmd
4、切换至 jar 的目录下,输入命令 java -jar fmw_12.2.1.3.0_wls.jar 安装
5、弹出 WebLogic 的安装界面,默认下一步
6、默认跳过更新
7、路径不变,默认下一步(后续上传 POC马 需用到路径)
8、默认选择 WebLogic Server,下一步
9、检查项的 JDK 版本需通过,否则安装成功无法配置(最低要求是 1.8)
10、默认安装
11、安装完成下一步,勾选“自动启动配置向导”
12、进行配置,默认下一步
13、勾选所有模板的选项
14、根据自己需求设置密码(后续登录页面需要)
15、默认下一步
16、勾选所有选项
17、此时 7001 端口出现,默认下一步
18、输入用户名和密码
19、默认下一步
20、点击“创建”,等待创建完成后下一步
21、勾选“启动管理服务器”
22、开放了 7001 端口,访问 http:// 靶机IP :7001/ 页面出现 404 证明成功了。至此WebLogic 安装及配置都完成
三、扫描 28靶机IP 暴露出 CVE_2018_2894 漏洞
可能遇到的问题
(一)有些版本是下载 WebLogic 12.2.1.3.0 的 zip,解压为 jar 包之后继续解压成目录的方法,管理员权限运行 .ng.cmd 安装
(二)安装 WebLogic12.2.1.3.0 安装界面的先决条件检查项的 JDK 版本过低 ,继续安装会导致配置失败
