漏洞复现 Oracle GlassFish Server 任意文件读取漏洞(CVE-2017-1000028)

已于 2023-04-19 23:01:22 修改
阅读量1k 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: oracle 安全 java web安全
于 2023-04-16 20:06:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/130187218
版权

文章目录

漏洞复现 Oracle GlassFish Server 任意文件读取漏洞(CVE-2017-1000028)

1. GlassFish 简介

微信公众号搜索:南风漏洞复现文库
南风漏洞复现文库公众号首发

Oracle GlassFish Server Open Source Edition是美国甲骨文(Oracle)公司的一套开源版本的用于构建Java EE(服务器端Java应用程序)的服务器。

2.漏洞描述

Oracle GlassFish Server Open Source Edition 4.1版本中存在任意文件读取漏洞。攻击者可借助特制的HTTP GET请求利用该漏洞访问敏感数据。
CVE-2017-1000028
CNNVD-201707-831
CNVD-2017-27302

3.影响版本

Oracle GlassFish Server Open Source Edition 4.1版本
漏洞复现 Oracle GlassFish Server 任意文件读取漏洞(CVE-2017-1000028)

4.fofa 查询语句

fofa:fid=“90r39jo6/0uRhK8ILW65Lw==”

5.漏洞复现

了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
fofa搜索漏洞技巧
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-08 3382
fofa搜索漏洞技巧整理,主要有以下十个方面:搜索HTTP响应头中含有"thinkphp"关键词的网站和IP;加上标题带有后台的;加上时间,现在新网站有thinkphp日志泄露的有很多; 搜索html正文中含有"管理后台"关键词的网站和IP body="管理后台"等。 fofa搜索漏洞技巧整理1、搜索HTTP响应头中含有"thinkphp"关键词的网站和IP。 header="thinkphp" && country="CN"
java glassfish漏洞_CVE-2017-1000028 Oracle GlassFish Server Open Source Edition 路径遍历漏洞-漏洞情报、漏洞详情、安全漏洞、...
weixin_28836507的博客
03-04 854
# Exploit title: Oracle Glassfish OSE 4.1 - Path Traversal (Metasploit)# Author: Dhiraj Mishra# Date: 2018-08-14# Software: Oracle Glassfish Server OSE# Version: 4.1# Software link: http://download.or...
开发实战(5)--fofa进行漏洞poc的信息收集
最新发布
weixin_72543266的博客
04-21 1950
突破fafa信息采集时只能查看5页数据, 主要还是围绕渗透测试的流程进行开发,一般在信息收集后,在渗透测试后,在发现通用型漏洞时,我们为了节省时间,可以通过写批量脚本来信息收集,然后使用poc来进行批量验证.作为一个fofa工程师,那么我们当然是使用fofa进行信息搜集喽,刚好也借着这个机会熟悉一下fofa的API文档,为后面写利用工具做好铺垫,当然目前还是用不到API的,问就是用不起,所以只能写脚本突破注册会员限制进行信息爬取。
Glassfish命令之create-domain
yetugeng的专栏
12-18 906
命令 create-domain 语法 create-domain [--help]  [--adminport adminport] [--instanceport instanceport]  [--portbase portbase]  [--profile profile-name]  [--template template-name]  [--domaindir domaindi...
深入浅出带你学习GlassFish中间件漏洞
老司机的后备箱
02-16 883
今天总结了一下GLASSFISH中间件的常见的攻击漏洞的利用手法,不知道大家有没有学会,可以看到GLASSFISH中间件由于解析特性的原因都可能存在漏洞,同时也有类似于WEBLOGIC部署WAR包的漏洞,还是值得我们认真学习一下的,如果喜欢本文希望可以一键三连支持一下。整理了一套《前端大厂面试宝典》,包含了HTML、CSS、JavaScript、HTTP、TCP协议、浏览器、VUE、React、数据结构和算法,一共201道面试题,并对每个问题作出了回答和解析。
Vmware CVE-2021-21972漏洞复现
New Wh1te Hat
03-16 2355
一、漏洞简介 vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。 vSphere Client(HTML5) 在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,写入webshell,控制服务器
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool(又名嵌入 org.glassfish 中的 Xalan)相关的序列化小工具和类型之间的交互。...
glassfish任意文件读取漏洞.py
04-19
glassfish任意文件读取漏洞批量检测脚本,如果有使用问题可以加qq:2369779427
docker-glassfish:适用于Oracle GlassFish 3.1.2.2的Dockerfile
04-29
支持的版本称为Oracle GlassFish ServerGlassFish是免费软件,具有两个免费软件许可证双重许可:通用开发和发行许可证(CDDL)和GNU通用公共许可证(GPL)(类路径例外)。 该存储库仅提供GlassFish 3.1.2.2的...
Oracle GlassFish Server 3.1相关资料
06-17
Oracle GlassFish Server 3.1相关资料
glassfish-3.1.2.2.zip
05-16
glassfish-3.1.2.2.zip上传根据需要使用,基于Java EE 6
CISCO ASA设备任意文件读取漏洞复现 (CVE-2020-3452)
Zeker62的博客
12-23 4043
漏洞内容 文件读取漏洞概述: 文件读取漏洞就是攻击者利用漏洞,可以越级对服务器端文件其他目录进行访问,以此来达到破坏、越权、获取信息等目的。 本漏洞内容: 思科自适应安全设备 Cisco Adaptive Security Appliance (ASA) 软件和思科火力威胁防御 Cisco Firepower Threat Defense (FTD) 软件的 Web 服务界面中存在漏洞,使得未经身份验证的远程攻击者能够执行目录遍历攻击并读取目标系统上的敏感文件。 简而言之,思科代码对恶意URL的注入过滤
Confluence未授权管理用户添加漏洞复现 (CVE-2023-22515)
holyxp的博客
11-02 764
Atlassian Confluence是企业广泛使用的wiki系统。 2023年10月4日,Atlassian官方发布了对于CVE-2023-22515漏洞的补丁。这个漏洞是由属性覆盖导致,利用该漏洞攻击者可以重新执行Confluence安装流程并增加管理员账户。
漏洞复现】Metabase 远程命令执行漏洞(CVE-2023-38646)
做自己喜欢的事,并将其发挥到极致!
08-03 4006
Metabase是美国Metabase公司的一个开源数据分析平台。Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。Metabase 0.46.6.1之前版本和Metabase Enterprise 1.46.6.1之前版本存在安全漏洞,该漏洞源于允许攻击者以服务器的权限级别在服务器上执行任意命令。
Juniper_RCE漏洞_CVE-2023-36845漏洞复现(附EXP)
m0_64366018的博客
01-15 720
把执行的命令,先base64编码。
如何查找oracle漏洞对应补丁号,Oracle 漏洞补丁如何查找下载并打补丁,什么漏洞都可用Opatch?...
weixin_33397740的博客
04-04 3494
我需要打这么多漏洞,有没有大师跟我 说如何处理比较好,是否是一个一个下载漏洞?序号 危险级别 漏洞编号 漏洞名称 返回信息12 高危险 009A071 Oracle数据库服务器Core RDBMS组件安全漏洞(CVE-2011-2239) Oracle Version:11.2.0.1....
Python 渗透测试:漏洞的批量搜索与利用.(GlassFish 任意文件读取
网络安全领域___专研者.
05-19 2187
Python 开发学习的意义: (1)学习相关安全工具原理. (2)掌握自定义工具及拓展开发解决实战中无工具或手工麻烦批量化等情况. (3)在二次开发 Bypass,日常任务,批量测试利用等方面均有帮助.
GlassFish Server 配置https访问方式(二)
ZJin_Hua的专栏
12-24 2218
1、//用命令打开glassfish下的config目录或是java的安装目录\jdk\bin cd%glassfish_home%\domains\teras_domain\config   2、//生成新的sfb_store.jks 1:keytool -genkeypair -keyalg RSA -keysize1024 -keystore sfb_store.jks -vali
GlassFish 3.1 Server Open Source Edition 配置 oracle 连接池
weixin_30917213的博客
08-27 252
环境:Windows; GlassFish安装路径:C:\Program Files\glassfish-3.1.2 配置方式:网页管理界面停止Glassfish复制ojdbc6.jar 到C:\Program Files\glassfish-3.1.2\glassfish\domains\domain1\lib打开Glassfish连接管理界面:http://127.0.0.1:4848...
11.关于GlassFish说法正确的是 ( 2分) 口A. GlassFish任意文件读取漏洞(CVE 2017-1000028)受影响版本为<=4.1.2版本 口B.默认端口: 8080 (Web应用端口,即网站内容) 口C.默认端口: 4848 (GlassFish管理中心) 口D. GlassFish存在漏洞即可getshell
06-06
GlassFish任意文件读取漏洞CVE-2017-1000028)受影响版本为版本,这个说法也是正确的。 D. GlassFish存在漏洞并不一定能够getshell,这个说法是错误的。虽然GlassFish存在漏洞可能会被攻击者利用,但是否能够...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值