weblogic漏洞扫描工具 反序列化漏洞扫描工具

已于 2024-01-13 00:13:37 修改
阅读量345 收藏
点赞数 1
文章标签: 网络安全工程师 weblogic 网络安全 计算机网络基础 web安全防御
于 2023-03-16 16:25:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44005305/article/details/129590356
版权

weblogic 漏洞扫描工具 妄想试图weblogic一把梭

目前检测的功能

  • console 页面探测 & 弱口令扫描

  • uuid页面的SSRF

  • CVE-2017-10271 wls-wsat页面的反序列化

  • CVE-2018-2628 反序列化

后期可以的话还会继续加功能的,主要是一些反序列化的poc真的不好写,我也不咋会..

开始使用

使用前请先填写config.py中的server参数 推荐配合http://ceye.io之类的工具使用,server格式为http://xxx.ceye.io

使用方式比较简单,目前支持两种模式

1、扫描url.txt中的所有url


python3 weblogic-scan

复制

2、扫描单一的url


python3 weblogic-scan 127.0.0.1:7001

复制

console弱口令和CVE-2018-2628的扫描结果会直接在控制台中输出。

uuid页面的SSRF以及wls-wsat反序列化会在server服务器中留下日志文件。 会在域名前带上受影响机子的地址,这样扫描多个地址的时候方便做区分。

prepare

ENV

  • version: python3

  • expand : requests

config.py

  • timeout: 自定义timeout的时间,包括requests和socket的timeout

  • server(没有默认值,务必填写): 由于一些exp发送后具体有没有成功需要看服务器是否有数据返回 需要一个服务器来接受这种数据,例如CEYE - Monitor service for security testing 攻击成功会在dns记录以及http的log部分留下数据

url.txt

支持如下几种格式的url

  • 127.0.0.1

  • 127.0.0.1:7001

不填写端口默认端口为80,https起头的默认端口为443

weblogic漏洞扫描工具 项目地址:weblogic-scan

网络安全成长路线图

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:

# 网络安全学习方法

上面介绍了技术分类和学习路线,这里来谈一下学习方法:

## 视频学习

无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

教IT的无语强
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)
0xSec
04-08 4296
Oracle官方发布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。
weblogic scanner
03-24
用于扫描weblogic的漏洞 python ws.py -t 127.0.0.1:80
渗透实战:内网域渗透_内网渗透实例
最新发布
2201_75735270的博客
05-10 753
本文记录了一次针对具有二层内网的域环境进行渗透测试的过程,文中涉及了内网域渗透的基本方法、思路和技巧。交替使用了msf、CobaltStrike、frp、chisel、SharpSQLTools等工具,最后通过约束委派拿下了域控。其间运用了很多小工具,文章较长,下面开始此次渗透长途之旅。
WeblogicScan安装及使用
热门推荐
qq_52358808的博客
08-23 1万+
WeblogicScan 一键漏洞扫描检测工具,提供一键poc检测,收录几乎全部weblogic历史漏洞。 https://github.com/rabbitmask/WeblogicScan 原版 https://github.com/dr0op/WeblogicScan 修改版,多一个CVE检测,高亮美化 https://github.com/21superman/weblogic_exploit 漏洞比较全面 ...
【渗透测试】Weblogic系列漏洞
weixin_53972936的博客
11-01 3321
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
web漏洞扫描工具_ubuntu linux系统下web网站敏感目录漏洞扫描工具
weixin_39766014的博客
12-12 816
大家好,今天我们来介绍下:web网站敏感目录漏洞扫描工具一、CansionCansina一款用于发现网站的敏感目录和内容的安全测试工具,通过分析服务器的响应进行探测并使用sqlite保证数据持久性特性多线程HTTP/S 代理支持数据持久性 (sqlite3)多后缀支持 (-e php,asp,aspx,txt…)网页内容识别 (will watch for a specific string in...
weblogic反序列化漏洞检测工具
01-06
weblogic反序列化漏洞检测工具,一键扫描,直接显示扫描结果。
weblogic 反序列化漏洞补丁
07-05
WebLogic是Oracle公司的一...总之,WebLogic反序列化漏洞CVE-2018-2628是一个严重威胁,需要及时通过安装补丁和加强安全管理来消除风险。对于企业而言,了解和掌握这类漏洞及其修复方法是保护信息系统安全的重要一环。
Weblogic XML反序列化漏洞CVE-2017-10271
04-16
对于那些需要检测是否存在此漏洞的用户,"Weblogic XML反序列化漏洞检查工具CVE-2017-10271.exe"可能是一个实用工具。这个工具可以帮助管理员快速识别其WebLogic环境是否易受该漏洞的影响,通过扫描和模拟攻击尝试,...
weblogic反序列化全版本漏洞利用工具
06-27
weblogic反序列化全版本漏洞利用工具,可执行命令
WeblogicScan.zip
01-28
基于python,可扫描Weblogic常见漏洞
weblogicscan
09-23
“本工具仅能在取得足够合法授权的企业安全建设中使用,在使用工具过程中,您应确保自己所有行为符合当地的法律法规。 如您在使用工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有贡献者不承担任何法律及连带责任。 除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用工具。 您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束” 支持最近的CVE-2023-21839漏洞T3&&IIOP,JNDI和JRMP类型漏洞需要填写自定义的dnslog地址,防止waf拦截常用的dnslog域名 支持内存马注入目前支持哥斯拉4 Servlet Filter、冰蝎3.11 Servlet、蚁剑Custom Filter 支持jrmp jndi类型漏洞 支持Weblogic 3DES和AES解密 目前支持批量探测T3、IIOP协议开放状态,内网IP地址(IIOP实现),常见的接口
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ) 自己已经打上补丁了。欢迎下载
02-24
在2017年,WebLogic服务器被发现存在一个名为CVE-2017-10271的安全漏洞,这是一个高危级别的反序列化漏洞。这个漏洞允许攻击者通过构造恶意的Java对象序列化数据,远程执行任意代码,从而控制受影响的系统。 **CVE-...
Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip
09-05
标题“Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip”表明这是一个专门用于检测Java应用服务器——Jboss、WeblogicWebsphere中的反序列化漏洞的工具集。这些服务器是企业级Java应用程序的常用平台...
中间件安全Weblogic 反序列化漏洞.(使用工具可以利用多种类型漏洞)
网络安全领域___专研者.
11-27 1828
WebLogic 是美国 Oracle 公司出品的一个 application server,确切的说是一个基于 JAVA EE 架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
weblogic漏洞利用工具-WeblogicTool
siu~
08-17 2309
WeblogicTool,GUI漏洞利用工具,支持漏洞检测、命令执行、内存马注入、密码解密等(深信服深蓝实验室天威战队强力驱动)
weblogic 反序列化漏洞检测工具
09-12
2. AppScan:这是一款商业化的Web应用安全测试工具,支持对WebLogic等服务器的漏洞扫描与检测,可以帮助您发现WebLogic反序列化漏洞。 3. OWASP ZAP:这是一个开源的Web应用安全扫描工具,也可以用来检测WebLogic...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值