Weblogic漏洞Getshell_总结——及

最新推荐文章于 2024-08-10 08:38:11 发布
最新推荐文章于 2024-08-10 08:38:11 发布
阅读量623 收藏
点赞数
分类专栏: vulhub 文章标签: WebLogic漏洞 SSRF 漏洞检测 工具推荐 自动化测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45300786/article/details/115674466
版权

weblogic漏洞之前我也复现的差不多了。除了ssrf那篇没有复现出来,大部分都做出来了。
那么到最后还是总结一下。不过我看到以为大师写的非常不错。
这里直接上链接。大师写的非常详细。
https://www.cnblogs.com/-mo-/p/11503707.html
++++++++++++++++++++++++++++++++++++++++

除此之外,还有一点想说。

在以后的测试中,要快速测试是否有漏洞的话,肯定使用工具来检测。
这里就给出几个weblogic的检测和利用利用工具的的地址
https://github.com/rabbitmask/WeblogicScan
https://github.com/0xn0ne/weblogicScanner
。。。
github上一大堆java版,python版

樱浅沐冰
关注
专栏目录
复现xray——CVE-2020-14750(Weblogic远程代码执行漏洞
记录并分享学习安全的知识点..
01-19 3202
一、漏洞介绍 Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server Oracle Fusion Middleware Console 多版本存在安全漏洞,该漏洞是CVE-2020-14882 补丁的绕过,远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,从而执行任意代
复现CVE-2021-2109 (Weblogic Server远程代码执行漏洞)
记录并分享学习安全的知识点..
01-19 3999
一、漏洞介绍 2021年1月20日,Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。 二、影响版本 WebLogic 3.6.0.0 WebLogic 1.3.0.0 WebLogic 2.1.3.0 WebLogic 2.1.4.0 漏洞判别方式:http://x.x.x.x:7001/conso
weblogic漏洞
scu_hacker博客
01-17 4229
目录 前言 一、任意文件上传 1.1影响范围 1.2 漏洞详情 二、弱口令+后台war包 三、ssrf漏洞 3.1影响范围 3.2 漏洞详情 四、反序列化漏洞 总结 前言 weblogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,本文介绍常见的几个weblogic漏洞原理、复现。 一、任意文件上传 1.1影响范围 weblogic 10.3.6.0 weblogic 12.1.3.0 weblogic 12.2.1.2 .
介绍一些 Weblogic 常见的漏洞
CSDN大数据
05-24 866
介绍 Weblogic 常见的漏洞,其中包括:弱口令、Java 反序列化、XMLdecoder 反序列化、SSRF 漏洞、任意文件上传,并根据其漏洞,使用 Docker+...
WebLogic常见的几种漏洞
最新发布
a96482的博客
08-10 1180
漏洞存在于wls9-async组件,该组件为异步通讯服务,攻击者可以在/_async/AsyncResponseService路径下传入恶意的xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,实现远程命令执行,攻击者可以进而获得整台服务器的权限。这里我们需要访问一个任意上传jsp文件漏洞功能点的目录位置,扫描目录的时候没有扫出来,但是你上网搜素这个CVE-2018-2894都是可以找到这个目录名字的,/ws_utc/config.do(未授权访问。
[新闻]BEA的Weblogic SP4 SSL存在漏洞
David.turing's Security Blog
03-08 145
据官方最新Security Advisories and Notifications报告(BEA06-118.00)显示:WeblogicServer的SSL身份信息会被恶意Application盗用。威胁程度:低严重程度:中等WeblogicServer的SSL配置分两部分,第一部分是Identtiy Keystore,第二部分是Trust Keystore,BEA06-118.00揭示,当We...
Weblogic漏洞
周星星的博客
09-05 2469
中间件漏洞weblogic漏洞初步学习,后续继续复现相关漏洞
Weblogic】弱口令+后台getshell
时乙的博客
11-21 1631
你有你的路,我有我的路。至于适当的路,正确的路和唯一的路,这样的路并不存在。——尼采 漏洞描述 由于管理员的疏忽,导致weblogic后台管理页面为默认密码或者是弱口令,使得不怀好意的人可以通过破解直接进入后台管理页面。 环境搭建 weblogic使用vulhub搭建 用户名:weblogic 密码:aR3ewO0x 漏洞复现 访问登录页面,登录进入后台管理页面 点击部署->安装 本地制作恶意war包 点击 上载文件 进行上传 选择制作好的war包 点...
SSRF——weblogic vulhub 漏洞复现及内网redis反弹shell
weixin_43774222的博客
03-17 6531
一、概述 SSRF( Server-side Request Forgery )服务端请求伪造。 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。 主要攻击手段 1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息; 2.攻击运行在内网或本地的应用程序(比如溢出); 3.对内网web应用进行指纹识别,通过访问默认文件实现
复现nuclei——CVE-2020-14882(WebLogic远程代码执行漏洞
记录并分享学习安全的知识点..
01-21 2059
一、漏洞介绍 2020年10月28日,Oracle发布的10月安全更新中的Oracle WebLogic Server 远程代码执行漏洞(CVE-2020-14882)POC被公开,远程攻击者可以通过发送恶意的HTTP GET 请求。成功利用此漏洞的攻击者可在未经身份验证的情况下控制 WebLogic Server Console ,并执行任意代码。 二、影响版本 WebLogic 10.3.6.0.0 WebLogic 12.1.3.0.0 WebLogic 12.2.1.3.0 WebLo
WebLogic WLS远程执行漏洞(CVE-2017-10271)验证
12-18
一段小代码,WebLogic WLS远程执行漏洞(CVE-2017-10271)验证。
K8 weblogic-CVE-2018-2628-getshell工具
08-14
K8 weblogic-CVE-2018-2628-getshell 渗透测试工具,内包含漏洞利用 图片、ip端口连接、shell控制。
Weblogic Unserialization GetShll&CMD;
03-27
安全渗透中使用,对weblogic中序列化漏洞的测试,可以对weblogic中执行cmd命令,直接获取服务器信息,此工具可以测试漏洞
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Weblogic GetShll&CMD;漏洞检测利用工具.rar
08-20
渗透测试中使用,可以用于检测weblogic漏洞并执行CMD命令,获取服务器权限,本程序仅供检测和学习用途,请勿用于其他任何非法用途!
weblogic 反序列化漏洞 getshell
weixin_30520015的博客
04-27 258
上传cmd.jsp,效果: 上传马: 转载于:https://www.cnblogs.com/n00p/p/8962136.html
weblogic-SSRF
anna11119的博客
07-26 660
https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf Weblogic SSRF漏洞 Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 测试环境搭建 编译及启动测试环境 docker-compose build docker-comp...
【原创】Weblogic 反序列化远程命令执行漏洞GetShell&Cmd Exploit
weixin_33841722的博客
12-12 751
这工具写到半夜四点,做个记录。 已发布至freebuf,链接:http://www.freebuf.com/vuls/90802.html 转载于:https://www.cnblogs.com/rebeyond/p/5041017.html
Oracle Weblogic 2628与07811漏洞修复指南
"该资源提供了解决Weblogic服务器上的2628和07811漏洞的补丁安装步骤,这些漏洞与T3协议的反序列化问题有关。" Oracle WebLogic Server是一款广泛使用的Java EE应用服务器,它为企业级应用程序提供了一个安全、可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值