weblogic漏洞复现

已于 2022-03-15 22:48:09 修改
阅读量2.1k 收藏
点赞数
文章标签: java-ee java 中间件 安全 web安全
于 2022-02-23 21:23:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinzezhi/article/details/123099417
版权

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

漏洞环境搭建

项目地址:

GitHub - vulhub/vulhub: Pre-Built Vulnerable Environments Based on Docker-Compose 

进行安装:

cd vulhub-master/weblogic/CVE-2017-10271/

docker-compose up -d

 检查安装是否完成

访问http://ip:7001/即可看到一个404页面,说明weblogic已成功启动。

 验证漏洞是否存在

访问 http://ip:7001/wls-wsat/CoordinatorPortType11,存在下图则说明可能存在漏洞

漏洞利用

使用对应的工具

漏洞扫描,选项,把weblogical移到另一面 

 

 whoami验证一下,是root权限

 dnslog验证

@A1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
weblogic基础知识介绍
01-16
浅显易懂的一篇介绍weblogic的文档,程度适中的介绍了一些概念性知识。
weblogic史上最详细使用介绍
04-10
weblogic使用详细讲解,涵盖了从安装到配置,再到启动部署等详细步骤
[ 环境搭建篇 ] docker 搭建 vulhub 靶场环境
qq_51577576的博客
05-30 5959
🍬博主介绍 👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有限,欢迎各位大佬指点,相互学习进步! 写在前面 在学习网络安全的过程中,搭建漏洞靶场有着至关重要的作用。 复现各种漏洞,能更好的理解漏洞产生的原因,提高自己的学习能力。 vulhub靶场环境利用简单,十分推荐大家.
配置WebLogical虚拟目录提供下载服务
天地一沙鸥
04-13 995
在项目中使用输出流来提供文件下载,感觉太麻烦,如果项目中使用了Weblogicweb应用服务器,我们可以使用Weblogic中提供的虚拟目录映射功能,非常方便用来做文件下载服务。 1.新建一个Web应用程序,并设置它的context path,例如:download 2.在WEB-INF下新建weblogic.xml [html] view plaincop
在kali上配置vulhub环境
Stacey_4869的博客
10-08 1294
vulhub靶场让我们更专注于漏洞本身。
手动安装weblogical
1
02-23 396
win10手动安装weblogical 准备weblogic压缩包,java包等 以管理员身份运行cmd 然后看到开启安装程序 这里注意要选择含示例的完整安装 然后这边又开始新一轮的安装,注意命令行不要关 等一会之后浏览器访问http://127.0.0.1:7001/console会自动跳转到index.jsp 然后进行部署,第一次访问会进行部署 部署完成,账号密码就是刚刚安装时设置的,登录进...
Weblogic的了解、安装及其使用
热门推荐
沉淀、分享、成长,让自己和他人都能有所收获!
09-24 2万+
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
WebLogic入门
my_dream_fly的专栏
02-28 2万+
WebLogic 是一套基于JAVA功能强大的电子商务套件,提供了许多功能强大的中间件 以方便编程人员编写的JSP、SERVLET 等电子商务应用,可以为企业提供一个完整的商务应用 解决方案。 对于开发人员 WebLogic 可以在 www.bea.com 免费下载一套完整的 WebLogic,并得到一个限制了 IP 的license,用于学习和开发基于这个套件的代码。而要是需要正式的投入使用
通用存储过程分页
weblogical的专栏
05-21 677
 alter PROCEDURE pager@tblname varchar(100),--表名@pkname  varchar(100),--主键名称@pgsize  int,--每页数据大小@pg   int,--当前页码@Col_list varchar(Max)=null,--不为空,以英文逗号(,)开始@Filter varchar(Max)=null,--不为空,以where开
weblogic cmd命令漏洞检测
04-08
weblogic中cmd反序列号漏洞检测,必须要求是java8的环境启动,也可以选择对jboos的漏洞,对安全测评来说,比较重要,可以复现漏洞
JavaEE——Spring Boot + jwt
最新发布
weixin_64916164的博客
04-22 686
① 在 controller 中,添加 @Slf4j 注解用于日志记录② 在 controller 中,创建一个 login方法用来控制用户登入log.info("用户名: [{}]", user.getName());log.info("密码: [{}]", user.getPwd());③ 在 login中 创新一个Map对象,承载认证结果和相关信息④ 如果用户认证成功(u!= null),则创建一个包含用户ID和名称的Map对象,并生成一个JWT令牌。
JavaEE初阶Day 13:多线程(11)
m0_50444008的博客
04-18 1056
本文介绍了常见的锁策略、synchronized的实现原理以及CAS
JavaEE多线程】线程中断 interrupt()
weixin_59658448的博客
04-19 1249
这里使用了volatile这个关键字,后续我会为大家详细介绍这个关键字的用法,大家这里先暂时忽略它。
JavaEE初阶——多线程(七)——定时器
m0_60963435的博客
04-22 784
此篇文章与大家分享多线程的第七篇文章——关于定时器 如果有不足的或者错误的请您指出!
weblogic漏洞复现vulhub
08-21
复现weblogic漏洞,可以使用vulhub靶场中的weblogic服务。vulhub中提供了一些weblogic版本,包括weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2和weblogic 12.2.1.3。你可以选择其中一个版本来启动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值