weblogic數據源配置的問題,weblogic密碼破解

weblogic 報錯 please increase XXX,得知是連接池出了問題，查看weblogic配置，發現沒有設置超時

查看oracle 當前session，可以看到連接的機器，用戶，當前執行的sqlid

select * from v$session;

select v$sql where sql_id='xxx'

?

破解weblogic管理密碼 1.創建一個單獨的目錄，例如c:\DecryptionDemo 2.創建一個Java文件Decrypt.java

import java.io.PrintStream;
import weblogic.security.internal.*;
import weblogic.security.internal.encryption.*;
public class Decrypt{static EncryptionService es = null;static ClearOrEncryptedService ces = null;public static void main(String args[]){String s = null;if(args.length == 0)s = ServerAuthenticate.promptValue("Password:", false);elseif(args.length == 1)s = args[0];elseSystem.err.println("Usage: java Decrypt [ password ]");es = SerializedSystemIni.getExistingEncryptionService();if(es == null){System.err.println("Unable to initialize encryption service");return;}ces = new ClearOrEncryptedService(es);if(s != null)System.out.println("nDecrypted Password is:" + ces.decrypt(s));}
}

?

3.運行相關命令解密位于 d: beauser_projectsdomains1034serversAdminServersecurityboot.properties 文件中的字符串 call D:beawlserver_10.3serverbinsetWLSEnv.cmd copy D:beauser_projectsdomains1034securitySerializedSystemIni.dat javac Decrypt.java java -cp .;%CLASSPATH% Decrypt {AES}QxP9vMIXw7g39iRfGNIZ76TOoHq= pause 此時可以看到密碼原文為weblogic1,

安全隱患： 如果任何人知道您的domain的名稱，那么他就可以創建一個相同名稱的domain,來獲得文件 SerializedSystemIni.dat 和boot.properties,然后就可以破解到原始的密碼明文， 也許這是一個安全漏洞

?

?