weblogic漏洞

最新推荐文章于 2024-05-21 18:28:02 发布
最新推荐文章于 2024-05-21 18:28:02 发布
阅读量4.1k 收藏 6
点赞数 1
分类专栏: 中间件漏洞 文章标签: java p2p 安全 web安全 weblogic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36375207/article/details/122545659
版权
本文详细介绍了WebLogic中间件的多个安全漏洞,包括任意文件上传、弱口令配合后台WAR包利用、SSRF漏洞及反序列化漏洞。这些漏洞影响了多个WebLogic版本,如10.3.6.0、12.1.3.0等。针对这些安全问题,建议加强权限控制,避免未授权访问和使用弱口令,并及时删除敏感文件及升级版本以防止攻击。
摘要由CSDN通过智能技术生成

目录

前言

一、任意文件上传

1.1影响范围

1.2 漏洞详情

二、弱口令+后台war包

三、ssrf漏洞

3.1影响范围 

3.2 漏洞详情

四、反序列化漏洞

总结

前言

weblogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,本文介绍常见的几个weblogic漏洞原理、复现。

一、任意文件上传

1.1影响范围

weblogic 10.3.6.0

weblogic 12.1.3.0

weblogic 12.2.1.2

weblogic 12.2.1.3

1.2 漏洞详情

        首先确保可以未授权访问路径http://xx.xx.xx.xx/ws_utc/config.do

 

        要更该工作目录为我们可以访问的目录,原目录我们无权限访问,若该路径为

xxxxxxx\domains\base_domain\tmp\WSTestPageWo

最低0.47元/天 解锁文章
scu_hacker
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Weblogic反序列化漏洞补丁包
01-18
Weblogic反序列化漏洞补丁包。1.0.36需要先升级到P12.
Weblogic 常见漏洞分析与利用
未完成的歌~的博客
03-23 8698
一直没有系统的总结过 weblogic漏洞,今天通过 vulhub 靶场来复现几个经典的案例。WebLogic 是美国 Oracle 公司出品的一个基于 JAVAEE 架构的中间件,是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的Java应用服务器。WebLogic 由纯 Java 开发,长期以来一直被认为是市场上最好的J2EE工具之一,被广泛应用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。
weblogic漏洞浅谈
最新发布
2301_82000839的博客
05-21 844
weblogic是oracle公司出品的application server,用于本地和云端开发,集成,部署和大型分布式web应用,网络应用和数据库应用的Java应用服务器weblogic server是一个基于JAVAEE架构的中间件,将java的动态功能和java Enterprise标准的安全性引入大型网络应用开发,集成,部署和管理中,提供java Enterprise Edition和jakarta EE的可靠、成熟、可扩展的实现。
Weblogic 常见漏洞汇总
热门推荐
box
04-20 1万+
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic XMLDecoder反序列化漏洞(CVE-2017-3506) 0x00 漏洞描述 网上爆出weblogic的WLS组件存在xmldecoder
[Java安全]—weblogic常见漏洞
Sentiment的博客
07-11 3467
本来想跟一些T3反序列化的,奈何本地环境怎么都起不起来先复现一下常见漏洞吧。。。Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和 数据库应用的Java应用服务器。Vulhub - Docker-Compose file for vulnerability environment 启动环境后访问,进入后台弱口令直接登录weblogic常用弱口令: htt
Weblogic常见漏洞详解
m0_64481831的博客
03-01 3404
Weblogic 是一个基于JavaEE架构的中间件,是用于开发、集成、部署和管理大型分布式为Web应用、网络应用和数据库应用的Java应用服务器。Weblogic由纯Java开发,被广泛应用于开发、部署和运行Java应用等适用于本地环境和云环境的企业应用。所以,Weblogic在面试当中被提到频率还蛮高的。这篇文章以vulhub靶场为辅。Weblogic中间件常见漏洞文章讲了任意文件读取和弱口令登录、未授权访问后台和HTTP请求远程代码执行、SSRF利用、XMLDecoder反序列化漏洞
weblogic 漏洞统计 CVE
09-18
然而,如同任何复杂的软件系统,WebLogic也存在安全漏洞,这些漏洞可能被恶意攻击者利用,对服务器造成严重威胁。以下是所提及的一些CVE(Common Vulnerabilities and Exposures)编号以及它们涉及的安全问题: 1. ...
weblogic漏洞检测集合工具
11-17
weblogic漏洞检测集合工具支持一键检测多个weblogic漏洞weblogic漏洞检测集合工具支持一键检测多个weblogic漏洞
weblogic漏洞补丁
07-03
标题提到的“weblogic漏洞补丁”是指Oracle为WebLogic Server发布的专门修复安全漏洞的更新。在这个特定的案例中,补丁版本号为10.3.6.0.12,这表明它是针对WebLogic Server 10.3.6版本的一个重要安全更新。补丁通常...
最新2018年7月WebLogic漏洞(CVE-2018-2893) 适用于weblogic12.2.1.3
07-23
Oracle的高危远程代码执行漏洞(CVE-2018-2893),通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。 受此漏洞影响的版本包括: WebLogic 10.3.6.0 WebLogic 12.1.3.0 WebLogic 12.2.1.2 WebLogic 12.2.1.3 ...
weblogic 漏洞需要替换的jar包
11-16
weblogic 漏洞需要替换的jar包
weblogic中间件漏洞汇总
混子
11-24 8867
目录一、weblogic是什么?二、安装环境1、下载weblogic2、安装(其实就是点点点啦)三、反序列化漏洞1、XMLDecoder(CVE-2017-102712、XMLDecoder (CVE-2017-35063、wls-wsat远程代码执行(CVE-2019-27254、T3协议命令执行(CVE-2018-26285、 IIOP(CVE-2020-2551四、SSRF1、SSRF(CVE-2014-42102. SSRF联动Redis3、防御五、未授权访问1、Console HTTP协议远程代码
【渗透测试】Weblogic系列漏洞
weixin_53972936的博客
11-01 3352
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Weblogic漏洞
周星星的博客
09-05 2326
中间件漏洞weblogic漏洞初步学习,后续继续复现相关漏洞
介绍一些 Weblogic 常见的漏洞
CSDN大数据
05-24 856
介绍 Weblogic 常见的漏洞,其中包括:弱口令、Java 反序列化、XMLdecoder 反序列化、SSRF 漏洞、任意文件上传,并根据其漏洞,使用 Docker+...
webLogic漏洞分析—控制台路径泄露与弱口令
simonnews的博客
05-10 2957
Weblogic_控制台路径泄露1 漏洞概述1.1 基础知识1.2 漏洞概述2 漏洞原理分析3 漏洞复现3.1 环境搭建3.2 漏洞利用4 漏洞修复5 其他 1 漏洞概述 1.1 基础知识 要了解这个漏洞首先我们要了解一个概念,什么是web服务器控制台,它有什么作用和影响: 对于weblogic控制台来讲:Weblogic有一个Web端的管理控制台,关于Weblogic的操作、Web服务的配置及程序管理等都可以通过这个控制台进行操作。 1.2 漏洞概述 由于各种web中间件默认路径可能都存在控制台页面路径
CVE-2023-21839漏洞复现(基于vulhub)
weixin_63960760的博客
09-11 880
由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 8150
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
Weblogic漏洞利用总结
YouthBelief的博客
10-28 6429
weblogic前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np imp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值