记一次weblogic-10.3.6.0靶场漏洞利用

最新推荐文章于 2024-05-13 09:41:05 发布
最新推荐文章于 2024-05-13 09:41:05 发布
阅读量7.4k 收藏 6
点赞数
文章标签: oracle 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43512091/article/details/126879053
版权

进入Vuln-Range的weblogic-10.3.6.0靶场

靶场地址后面加上 /console 进入后台页面

使用weblogic漏洞利用工具进行扫描

删掉端口后面多余字符,输入/uddiexplorer/

右上角图片新标签页打开

复制图片文件名 到weblogic中查找

输入 find ./ -name oracle_logo.gif(文件名)

找到的路径用记事本保存一下

在weblogic工具里使用pwd打印工作目录

打印出的工作目录和刚刚保存的gif文件路径拼接在一起

(去掉. 去掉图片文件名再自己起一个新的文件名 xx.jsp)

拼接字符串 获得一个漏洞目录

连接复制到weblogic的shell上传

把之前哥斯拉生成的内存马代码粘贴过来

上传

进入最开始的/uddiexplorer/下的自命名木马.jsp

空白即为访问成功

用哥斯拉对此链接进行连接

进入

拿下shell

cislandxor
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
漏洞复现】WebLogic Server 远程代码执行漏洞(CVE-2021-2109)
做自己喜欢的事,并将其发挥到极致!
12-22 1107
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。该漏洞WebLogic的远程代码执行漏洞漏洞主要由JNDI注入,导致攻击者可利用此漏洞远程代码执行。
WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)
0xSec
04-08 4301
Oracle官方发布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。
weblogic __ 10.3.6 __ 反序列化漏洞 _ CVE-2017-10271
cgjil的博客
09-16 216
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。2、对wls-wsat的资源访问在防火墙或路由器和交换机上做acl访问控制规则。3、在不影响业务的前提下删除相应war包。1、更新Oracle相应补丁。
weblogic反序列化全版本漏洞利用工具
06-27
weblogic反序列化全版本漏洞利用工具,可执行命令
Weblogic10.3.6 ‘wls-wsat‘ XMLDecoder 反序列化漏洞(CVE-2017-10271)
最新发布
weixin_45653478的博客
05-13 1074
CVE-2017-10271 是一个存在于 Oracle WebLogic Server 10.3.6 以下版本中的 XMLDecoder 反序列化漏洞。此漏洞源于 WebLogic 的 WLS-WebServices 核心组件,该组件使用 XMLDecoder 来解析用户传入的 XML 数据。由于 XMLDecoder 在处理某些特定格式的 XML 数据时存在反序列化漏洞,攻击者可以构造恶意的 XML 数据来触发该漏洞,从而执行任意命令,获取服务器权限。
weblogic相关漏洞复现
weixin_45605374的博客
06-15 1046
weblogic weblogic中间件是是用来构建网站的必要软件,具有解析、发布网页等功能,它是用纯java开发的 CVE-2017-10271 产生原因 CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。 影响版本 10.3.6.0.0,12.1.3.0.
weblogic漏洞扫描工具 反序列化漏洞扫描工具
Innocence_0的博客
03-16 1286
weblogic漏洞扫描工具 反序列化漏洞扫描工具
weblogic CVE-2018-3191 exp(含weblogic-spring-jndi-10.3.6.0.jar)
07-05
自用CVE-2018-3191 weblogic反序列化exp。
weblogic 11g补丁2021年10月(10.3.6.0.211019.rar)
12-15
2021年10月发布的WebLogic 10.3.6.0.211019补丁集是针对这个版本一次重要更新,旨在提升系统性能、增强安全性并修复已知问题。 补丁集更新(Patch Set Update, PSU)是Oracle针对其产品提供的常规维护更新,包含...
WebLogic patch10.3.6.0.180116
01-22
"WebLogic patch10.3.6.0.180116" 是针对WebLogic Server 10.3.6.0版本的一个重要安全更新,发布于2018年1月16日。这个补丁主要目的是修复该版本中发现的安全漏洞,以保护用户的系统免受潜在攻击。 WebLogic服务器...
Weblogic10.3.6.0补丁包(含补丁安装说明).zip
08-19
Weblogic 10.3.6 2019年7月16日集成补丁包(p29633432_1036_Generic_20190716.zip),补丁名称:MXLE,下载文件中包含补丁安装说明和方法(自用详细步骤)。服务器打补丁前请注意做好备份,若与旧的补丁冲突,需卸载...
WEBLOGIC 10.3.6.0.210119 - 2021年1月补丁
01-20
2021年1月19日,Oracle发布了一项重要的安全更新,即WEBLOGIC 10.3.6.0.210119补丁,该补丁针对WebLogic Server的多个潜在安全漏洞进行了修复,确保了系统的稳定性和安全性。 这个补丁主要关注的是WebLogic Server...
【渗透测试】Weblogic系列漏洞
weixin_53972936的博客
11-01 3332
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Weblogic 常见漏洞分析与利用
未完成的歌~的博客
03-23 8525
一直没有系统的总结过 weblogic漏洞,今天通过 vulhub 靶场来复现几个经典的案例。WebLogic 是美国 Oracle 公司出品的一个基于 JAVAEE 架构的中间件,是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的Java应用服务器。WebLogic 由纯 Java 开发,长期以来一直被认为是市场上最好的J2EE工具之一,被广泛应用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。
Weblogic历史漏洞复现
m0_53183117的博客
02-27 1599
Weblogic历史漏洞
Weblogic远程代码执行漏洞(CVE-2020-14750)修复步骤--weblogic10.3.6版本
热门推荐
skyfans的博客
11-25 1万+
针对于weblogic console的内容,2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750。此漏洞与CVE-2020-14882有关,该漏洞已在2020年10月的关键补丁更新中解决。此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络进行攻击。 详细内容可参见官网宣布内容:CVE-2020-14750 相应影响版本如下: 针对于此漏洞,官网下载的补丁文件中,
Weblogic漏洞 - Weblogic 弱口令漏洞
HAKUNAMATATATTA的博客
12-02 1937
WebLogic Server 是美国甲骨文( Oracle )公司开发的一款适用于云环境和传统环境的应用服务中间件,确切的说是一个基于 JavaEE 架构的中间件,它提供了一个现代轻型开发平台,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。将Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Weblogic常见漏洞详解
m0_64481831的博客
03-01 3256
Weblogic 是一个基于JavaEE架构的中间件,是用于开发、集成、部署和管理大型分布式为Web应用、网络应用和数据库应用的Java应用服务器。Weblogic由纯Java开发,被广泛应用于开发、部署和运行Java应用等适用于本地环境和云环境的企业应用。所以,Weblogic在面试当中被提到频率还蛮高的。这篇文章以vulhub靶场为辅。Weblogic中间件常见漏洞文章讲了任意文件读取和弱口令登录、未授权访问后台和HTTP请求远程代码执行、SSRF利用、XMLDecoder反序列化漏洞
weblogic10.3.6.0升级补丁
07-28
您好!对于 WebLogic 10.3.6.0 的升级补丁,您可以按照以下步骤进行操作: 1. 下载补丁:访问 Oracle 官方网站,找到 WebLogic 10.3.6.0 的升级补丁,下载适合您的操作系统和架构的补丁文件。 2. 备份配置和应用:在开始升级之前,建议先备份当前的 WebLogic 配置文件和应用程序,以防止出现意外情况。 3. 关闭 WebLogic 服务器:在升级之前,确保 WebLogic 服务器处于停止状态。 4. 执行升级:将下载的升级补丁文件解压缩,并按照其中的说明进行安装。这可能涉及到运行一些脚本或命令来执行升级过程。 5. 验证升级:在升级完成后,启动 WebLogic 服务器,并验证是否成功升级。可以查看 WebLogic 的日志文件或控制台输出来确认。 6. 测试应用程序:确保所有的应用程序在升级后能够正常运行。进行一些基本的功能测试,以确保升级没有引入新的问题或错误。 请注意,在执行任何升级操作之前,请仔细阅读相关文档和说明,并确保您已经了解升级过程中的风险和注意事项。另外,建议在升级之前在测试环境中进行全面的测试,以最大程度地减少生产环境中的风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值