Weblogic漏洞复现

最新推荐文章于 2024-04-26 22:46:18 发布
最新推荐文章于 2024-04-26 22:46:18 发布
阅读量548 收藏
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62392732/article/details/122058414
版权

Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。

       Oracle修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制。两个页面分别为/ws_utc/begin.do、/ws_utc/config.do。

  3.4.2受影响版本

weblogic 10.3.6.0

weblogic 12.1.3.0

weblogic 12.2.1.2

weblogic 12.2.1.3

  1. 在Ubuntu中使用docker环境搭建vulhub环境

先进行docker安装

sudo apt-get install docker docker-compose

docker-compose up -d 进行环境搭建

sudo su 拿到最终权限进行搭建

 

使用kali进行扫描

最低0.47元/天 解锁文章
麻辣火锅兔
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebLogic XMLDecoder反序列化(CVE-2017-10271)漏洞
橘子女侠
07-20 1349
Weblogic XMLDecoder 反序列化(CVE-2017-10271)漏洞 一、漏洞概述 1、漏洞编号:CVE-2017-10271 2、漏洞描述:WebLogic的 WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出反序列化漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击,执行...
weblogic cmd命令漏洞检测
04-08
进行安全测评时,漏洞是评估风险的关键步骤。这包括理解漏洞的工作原理、创建能触发漏洞的输入,以及观察漏洞被利用时的结果。通过这种方法,安全团队可以评估漏洞的实际影响,并为修提供具体建议。 总的来说...
weblogic 漏洞
03-11 7241
cd vulhub/weblogic/CVE-2018-2894/ //进入对应得目录 sudo service docker start //启动docker服务 docker-compose up -d //启动 docker-compose stop //测试完毕后停止服务 docker-compose down //移除容器 Weblogic 任意文件上传漏洞(CVE-2018-2894) 漏洞成因:WebLogic 管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限
Weblogic反序列化漏洞原理分析及漏洞(CVE-2024-2628 CVE-2024-21839)_weblogic payload
最新发布
2401_84264662的博客
04-26 957
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Weblogic < 10.3.6 ‘wls-wsat‘ XMLDecoder 反序列化漏洞 CVE-2017-10271 漏洞
ADummy的博客
03-01 276
Weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞(CVE-2017-10271) by ADummy 0x00利用路线 ​ burpsuite发包—>命令执行 0x01漏洞介绍 ​ Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出反序列化漏洞,导致可执行任意命令 影响版本 10.3.6.0 12.1.3.0.0 12.2.1.1.0 漏
关于weblogic 10.3.6.0 的漏洞(1)
aopingying8163的博客
05-08 546
最近小R 搭建了个weblogic, 因为之前在公司找系统漏洞的时候,发了这个漏洞,所以为了特地专门搭建了个10.3.6.0版本。 漏洞编号: CVE-2017-10271 漏洞的描述:就是weblogic 的WLS组件中存在了CVE-2017-10271远程代码的执行漏洞,可以构造请求运行weblogic中间件的主机来进行攻击。此外,还可以利用此漏洞来进行挖矿。 1. 环境就...
Weblogic 漏洞
告白的博客
03-03 2239
0x00 weblogic 简介 WebLogic是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 0x01 XML反序列化漏洞(CVE-2017-10271)
s\base_domain
12-19
近在用weblogic,经常出的问题就是找不到类或找不到方法,但是jar包明明就在classpath里面。经过研究发原因为weblogic的调用过程中并未调用classpath下的jar,而是调用了其他的类,所以只需要将找不到类的jar加入的到weblogic的启动项中即可。加入启动项的步骤如下: 1.把jar包放到weblogic的domain的xfirelib\目录下(或其它目录均可) 2.修改bea\user_projects\domains\base_domain\bin下的setDomainEnv.cmd配置, set CLASSPATH=%PRE_CLASSPATH%;%WEBLOGIC_CLASSPATH%;%POST_CLASSPATH%;%WLP_POST_CLASSPATH% set DOMAIN_HOME=D:\bea\user_projects\domains\base_domain 这个是classpath的原本配置,勿动。 本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/niuxinlong/archive/2010/01/22/5224463.aspx
weblogic中间件漏洞
kukudeshuo的博客
02-09 1196
weblogic中间件漏洞 weblogic介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一,是并购BEA得来。是商业市场上主要的Java(J2EE)应
weblogic漏洞
m0_43397796的博客
01-17 3482
weblogic 漏洞 Weblogic ssrf https://www.hetianlab.com/expc.do?ec=ECID9d6c0ca797abec2017021014312200001 实验环境 Weblogic服务器:centos6.5 weblogic版本10.3.6.0,IP 10.1.1.157 Redis服务器:centos6.5 redis-2.8.13, IP 10.1.1.111 host主机:kali IP随机 关闭防火墙 启动weblogic 这里有个坑 we
weblogic漏洞从0学习
https://www.cnblogs.com/zpchcbd/
09-27 576
这两天慢慢weblogic漏洞 weblogic的历史漏洞 #控制台路径泄露 Weakpassword #SSRF: CVE-2014-4210 #JAVA反序列化: CVE-2015-4852 CVE-2016-0638 CVE-2016-3510 CVE-2017-3248 CVE-2018-2628 CVE-2018-2893 #任意文...
weblogic 漏洞(1)
初学者L_言的博客
12-04 742
一、环境搭建 # 这里采用 vulhub/weblogic漏洞镜像搭建 docker pull vulhub/weblogic:12.2.1.3-2018 # 端口映射 docker run -di -p 7001:7001 -p 8055:8055 vulhub/weblogic:12.2.1.3-2018 二、漏洞信息收集 工具地址 # 发版本信息 WebLogic Server 版本: 12.2.1.3.0 # 漏洞信息 CVE-2018-2894 #影响版本 weblogic
WebLogic CVE-2019-2647~2650 XXE漏洞分析
cp15191163199的博客
05-06 619
Oracle发布了4月份的补丁,详情见链接( https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html#Appen...
常见端口号以及对应的作用
weixin_55773382的博客
11-04 3937
端口 主机为了区分不同的网络服务显然不能只靠IP地址,因为IP 地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。 21:用于FTP(用于文本协议)服务 23:用于远程登录服务 25:为SMTP服务器开放,主要用于发送邮件 53:为DNS服务器所开放,用于域名的解析 67,68:分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。 69:TF
weblogic漏洞vulhub
08-21
weblogic漏洞,可以使用vulhub靶场中的weblogic服务。vulhub中提供了一些weblogic版本,包括weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2和weblogic 12.2.1.3。你可以选择其中一个版本来启动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值