weblogic反序列化漏洞测试与解决

最新推荐文章于 2024-07-26 11:42:28 发布
最新推荐文章于 2024-07-26 11:42:28 发布
阅读量2w 收藏 9
点赞数 8
分类专栏: 问题解决
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gongzi2311/article/details/50555565
版权

一、测试

java -jar CommonsCollectionsTools.jar weblogic 192.168.0.11 7001 F:/a.txt

执行该操作后,如果该IP上的电脑生成a.txt文件,证明漏洞存在(此命令为window下操作,linux下修改文件路径,暂未测试)。


测试jar下载地址:http://download.csdn.net/detail/gongzi2311/9434503


二、解决

1.快速解决

找到..\weblogic\Middleware\modules\com.bea.core.apache.commons.collections_3.2.0.jar 并打开,

找到里面的 org\apache\commons\collections\functors\InvokerTransformer.class

然后删除,保存即可。重新测试发现不能生成文件,漏洞暂时解决。


2.补丁解决

需下载p20780171_1036_Generic.zip、p22248372_1036012_Generic.zip这两个补丁包,并安装。


补丁包下载:http://pan.baidu.com/s/1i3Oy7Ox

公子
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
修复weblogic的JAVA反序列化漏洞的多种方法--预防GetShell攻击
既是过河之卒,惟有奋力向前。
06-15 1427
0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁,目前看到的修复方法无非两条: 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.cl...
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
03-Weblogic漏洞
最新发布
qq_57410330的博客
07-26 991
全名:Oracle WebLogic Server,JavaEE服务器商业产品,适用于大型商业项目同类产品:IBM WebSphere、Apache Tomcat、Redhat Jboss7001。
WebLogic 反序列化漏洞(CVE-2019-2890)
午夜安全
10-20 3286
WebLogic 反序列化漏洞(CVE-2019-2890) 漏洞描述 2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。 Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以...
WebLogic 反序列化漏洞(CVE-2019-2890)复现(超详细)
热门推荐
越努力 越自由
03-16 1万+
目录 一. 漏洞介绍 二. 影响范围 三. 漏洞环境搭建 四. 漏洞复现 五. 漏洞修复 六. 漏洞检测poc 很多漏洞复现文章都不够详细,就是你按照他写的去复现会出很多很多的问题。我综合了几篇文章,写下这最详细的复现步骤。希望能帮助大家少走弯路 一. 漏洞介绍 2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。 Weblogi...
【重要安全预警】WebLogic反序列化漏洞补丁绕过
Gamay的博客
06-27 4851
著名的web中间件WebLogic被曝出之前的反序列化安全漏洞补丁存在绕过安全风险,用户更新补丁后,仍然存在被绕过成功执行远程命令攻击的情况,攻击者可以通过该漏洞获取系统权限,安全风险高,Oracle官方及时发布了最新补丁,修复了该漏洞,阿里云安全团队建议用户尽快自查并升级。
修而未复:说说WebLogic那修不完的Java反序列化漏洞
Enmotech的博客
05-26 3368

 
 
 
 
 
 
 编者说明:这篇文章初稿写在Oracle CPU补丁发布之后,考虑到文章内容的影响,并未在当时发布,W...
weblogic--反序列化漏洞测试Test
10-19
6. **测试方法**:使用提供的"weblogic反序列化漏洞测试jar包Test",可以模拟攻击行为,检测系统是否易受此类漏洞影响。通常,这样的测试工具会包含漏洞利用代码,通过执行特定的序列化操作来触发潜在的漏洞。 7. *...
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞的利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器。JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
weblogic 反序列化漏洞补丁
07-05
WebLogic是Oracle公司的一...总之,WebLogic反序列化漏洞CVE-2018-2628是一个严重威胁,需要及时通过安装补丁和加强安全管理来消除风险。对于企业而言,了解和掌握这类漏洞及其修复方法是保护信息系统安全的重要一环。
weblogic反序列化漏洞测试工具python脚本
05-22
本话题将围绕"WebLogic反序列化漏洞测试工具Python脚本"进行详细阐述。 首先,让我们理解什么是反序列化漏洞。在Java编程中,序列化是将对象转换为字节流的过程,以便于存储或在网络上传输。反序列化则是将字节流...
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ) 自己已经打上补丁了。欢迎下载
02-24
weblogic 补丁 反序列化补丁 。己已经打上补丁了。欢迎下载
2018最新weblogic反序列化漏洞补丁包
05-22
在p27395085_1036_Generic补丁的基础上再打上27453773_1036_Gener,解决CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2018-2628
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
Weblogic反序列化漏洞补丁(FMJJ),这是一个累积补丁,代号FMJJ
Weblogic 反序列化漏洞解决补丁文件
03-24
这个是自制的Weblogic 反序列化漏洞解决补丁文件。经过测试。 使用方法: 将weblogic_patch.jar 放在linux的以下目录: $WL_HOME/Middleware/patch_wls1036/profiles/default/sys_manifest_classpath $WL_HOME是...
Weblogic反序列化漏洞补丁更新解决方案
asdfgh0077的博客
10-08 126
Weblogic反序列化漏洞补丁更新解决方案
weblogic 反序列化(CVE-2020-2883)漏洞复现
weixin_42675091的博客
09-03 1099
weblogic 反序列化(CVE-2020-2883)漏洞复现
weblogic 反序列化 (CVE-2018-2628)漏洞复现
YouthBelief的博客
11-01 542
weblogic 反序列化 (CVE-2018-2628) 前言 Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。 0x01 漏洞描述 WLS Core是其中的一个核心组件。 攻击者利用其他rmi绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行该漏洞,该漏洞主要由于T3服务触发,所有开
weblogic反序列化漏洞复现( CVE-2019-2725)
千寻的博客
12-02 5036
文章目录漏洞名称漏洞编号漏洞描述影响版本漏洞存在复现第一步 访问控制台第二步 使用weblogicScan进行扫描,发现存在该漏洞漏洞复现一(poc)执行命令:上传webshell漏洞复现二下载地址漏洞检查命令执行上传哥斯特马,并进行连接哥斯特与msf联动免责声明 漏洞名称 weblogic反序列化远程命令执行漏洞 漏洞编号 CVE-2019-2725 漏洞描述 CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞, 这个漏洞依旧是根据weblogic的xm
防止weblogic反序列化漏洞对渗透测试人员的好处
05-28
防止WebLogic反序列化漏洞对渗透测试人员的好处主要有以下几点: 1. 提高渗透测试的难度:WebLogic反序列化漏洞是一种常见的安全漏洞,如果应用程序存在这种漏洞,渗透测试人员可以很容易地利用这种漏洞来获取...
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值