10.5.3 WebLogic
WebLogic是美国BEA公司出品的一个Application Server,确切地说,是一个基于Java EE架构的中间件,BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。目前WebLogic已被Oracle收购,最新版本为12c(12.1.1)。
安装好WebLogic后,WebLogic默认的监听端口为7001,在URL后输入"console",将会自动跳转至WebLogic的后台管理界面,路径为"console/login/loginForm.jsp",如图10-40所示。
WebLogic后台管理存在密码验证策略,特别是在之后的版本中,对密码要求更严格,密码至少必须为8个字母数字字符,并且至少包含一个数字或一个特殊字符。可以说,密码破解非常有难度,弱口令几乎也是不存在的,但在一些老版本中却存在以下一些弱口令。
-用户名密码均为:Weblogic
-用户名密码均为:system
-用户名密码均为:portaladmin
-用户名密码均为:guest
图10-40 WebLogic Server管理界面
也可以交叉使用,比如账户为weblogic,密码为system,一般账户默认为weblogic。假设已经得到了WebLogic的登录密码,进入后台管理后获取WebShell就比较简单了,后台主界面如图10-41所示。
图10-41 WebLogic域管理界面
在图 10-42 左侧可以看到有一个部署的超链接,WebLogic同样是利用部署的功能获取WebShell,单击部署,新的布署页面如图10-42所示。在图10-42中,如果已经存在WAR包,则显示在此页面,通过此界面可以对部署后的WAR包进行管理。
图10-42 部署界面
单击"安装"按钮,Weblogic会提示选择路径,部署一个新的WAR包。如果目标文件不存在,可以本地上传一个WAR包,其方法与Tomcat类似,如图10-43所示。
图10-43 选择路径
单击"上载文件",依次单击"将部署上传到管理服务器"→"部署档案"→"上传"按钮,然后选择WAR文件,单击"下一步"按钮进行上传,如图10-44所示。
图10-44 上传WAR文件
上传成功后,WebLogic将会给出文件的绝对路径,如图10-45所示。
单击"下一步"按钮,选择WAR文件的安装方式,此时选择"将此部署安装为应用程序",如图10-46所示。
本文选自《Web安全深度剖析》第十章,本站经电子工业出版社和作者的授权。
版权声明:51Testing软件测试网获电子工业出版社和作者授权连载本书部分章节。
任何个人或单位未获得明确的书面许可,不得对本文内容复制、转载或进行镜像,否则将追究法律责任。
