weblogic反序列化漏洞测试与解决

最新推荐文章于 2023-09-19 17:29:58 发布
最新推荐文章于 2023-09-19 17:29:58 发布
阅读量325 收藏
点赞数
分类专栏: 异常记录 文章标签: weblogic weblogic漏洞 序列化漏洞 Unsupported major.minor version 51.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/newerdragon/article/details/84765854
版权
通过该漏洞无需登录 只需要指定IP以及端口号 就可以往服务器写入文件。

可能产生异常:Unsupported major.minor version 51.0
JDK 编译环境不一致,解决:升级JDK

一、测试
java -jar Test.jar weblogic 192.168.0.11 7001 F:/a.txt
注:txt 文件直接生成在指定IP电脑内,需要下载一个测试JAR包

执行该操作后,如果该IP上的电脑生成a.txt文件,证明漏洞存在(此命令为window下操作,linux下修改文件路径,暂未测试)。

二、解决

找到
..\weblogic\Middleware\modules\com.bea.core.apache.commons.collections_3.2.0.jar

下载官方最新的collections.jar ,替换原来的jar包 ,重启应用服务
newerdragon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
weblogic反序列化漏洞测试jar包
02-17
weblogic反序列化漏洞测试jar包 如涉及版权问题请与我联系
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
weblogic--反序列化漏洞测试Test
10-19
weblogic应用上的资源分享给大家,如涉及版本,请告知,谢谢。
反序列化漏洞检查工具 Weblogic XML CVE-2017-10271
01-09
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
【技术推荐】WebLogic 反序列化漏洞深入分析
m0_73257876的博客
09-25 3164
WebLogic 漏洞存在较多的反序列化类和反序列化的途径,在使用黑名单防御手段下,攻击者只要找到新的反序列化触发点,就能造成新的危害。比如,你有一个类 A,类里面有个属性是类 B,这个时候,在反序列化的过程中,就会先反序列化类 A,之后在填充类 A 的过程中,继续反序列化类 B,类 B 在反序列化完成后,填充到类 A 中,同时整个过程都在一个流中操作,这个时候,只要还是 ObjectOutStream 的 read_value进行反序列化操作就不能饶过黑名单!
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
然而,与所有软件一样,Weblogic也存在安全漏洞,其中CVE-2017-10271是一个著名的反序列化漏洞。 CVE-2017-10271漏洞源于Weblogic服务器中WLS-Windows-Autopatch组件处理特定类型输入的反序列化过程。这个组件是...
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞的利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器。JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
weblogic反序列化漏洞测试工具python脚本
05-22
本话题将围绕"WebLogic反序列化漏洞测试工具Python脚本"进行详细阐述。 首先,让我们理解什么是反序列化漏洞。在Java编程中,序列化是将对象转换为字节流的过程,以便于存储或在网络上传输。反序列化则是将字节流...
weblogic Java反序列化漏洞测试解决
热门推荐
chaoloveyou的专栏
01-17 1万+
一、打补丁从weblogic10.3.6打补丁到10.3.6.0.12  系统是windows 2008 server 64位  查看服务器的weblogic版本信息:cmd下执行 java weblogic.version 显示信息如下: WebLogic Server 10.3.6.0 Tue Nov 15 08:52:36 PST 2011 1441050
Java反序列化漏洞利用工具(WebLogic&Jboss)
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
WebLogic CVE-2018-2628漏洞
06-13
先安装CVE-2017-10271 漏洞补丁,在打 CVE-2018-2628 补丁
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)
09-14
20180717官网发布Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)漏洞修复补丁
Weblogic全版本反序列化漏洞利用工具.jar
02-01
weblogic反序列化检测工具
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
Weblogic 反序列化漏洞(CVE-2017-10271)检测与利用复现
文公子的博客
10-30 1654
Weblogic 反序列化漏洞(CVE-2017-10271)检测与利用复现 版权 Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 漏洞环境搭建 可以参考: https://blog.csdn.net/qq_29647709/article/details/84892582 漏洞检测 检测工具下载 https://pan.baidu.com/s/1bpg3p
(转)Weblogic反序列化高危漏洞
w2363075992的博客
05-22 3841
转自:http://www.sohu.com/a/154670296_99890213?qq-pf-to=pcqq.c2c我选择的是第五种方法解决的。一、WebLogic Server Security Alert安全问题描述WebLogic Server反序列化安全漏洞补丁:CVE-2015-4852;Apache Commons Collections 3和4,Groovy,Spring,只要...
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
最新发布
rumil的博客
09-19 8608
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
Linux环境下Weblogic反序列化漏洞整改
哎呦喂
03-18 1186
反序列化漏洞整改方案一:1.到weblogic官网下载补丁包(p20780171_1036_Generic.zip、p22248372_1036012_Generic.zip(如果找不到的朋友,可以在回复中给我留下邮箱,说明需求,我会定期回复。)2、登录linux的weblogic用户,确认当前weblogic版本,并确认所有域的进程全部关闭。3、切换到/home/weblogic/Oracle/...
防止weblogic反序列化漏洞对渗透测试人员的好处
05-28
防止WebLogic反序列化漏洞对渗透测试人员的好处主要有以下几点: 1. 提高渗透测试的难度:WebLogic反序列化漏洞是一种常见的安全漏洞,如果应用程序存在这种漏洞,渗透测试人员可以很容易地利用这种漏洞来获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值