weblogic弱口令漏洞复现

已于 2022-08-07 21:07:38 修改
阅读量1.3k 收藏 13
点赞数 2
分类专栏: 漏洞复现 文章标签: 安全 web安全 网络安全
于 2022-07-20 21:39:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61503377/article/details/125900497
版权

weblogic常见弱口令

Weblogic 默认口令:https://cirt.net/passwords?criteria=weblogic
system/password
weblogic/weblogic
admin/security
joe/password
mary/password
system/security
wlcsystem/wlcsystem
wlpisystem/wlpisystem

1.信息收集

  1. 通过空间搜索引擎fofa进行被动信息收集。
app="BEA-WebLogic-Server" && port="7001"
  1. 锁定了一个网站,进入登录界面。
    在这里插入图片描述

漏洞利用

  1. 找了一个网站尝试弱口令进入后台,试了几次竟然进去了!
    在这里插入图片描述

  2. 选择部署,进入如下页面,上传war包。
    在这里插入图片描述在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

  3. 到这一步就开始制作war包,这里我选择将jsp的大马制作成war包。(

jar -cvf test.war JspSpy.jsp

制作成功如图
在这里插入图片描述

  1. 上传war包。
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

Getshell

  1. war包已经上传成功,接下来访问大马文件http://IP:7001/test/JspSpy.jsp,需要验证密码:
    在这里插入图片描述
    验证密码在jsp文件里。
    在这里插入图片描述

  2. 成功连接大马!
    在这里插入图片描述

曲折上升
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
weblogicCVE-2018-2628批量检测工具
05-08
weblogic-CVE-2018-2628-反序列化漏洞批量验证脚本。优化多线程检测。具备漏洞发现功能。
FOFA-攻防挑战
YJ_12340的博客
05-30 903
记录一下中途短暂的辉煌时刻在昨天初尝战果之后,今天又习惯性的打开发现今天还有挑战赛,按捺不住躁动的心,又开始了学习。今天主要拿下的是这四个镜像,同时我也会对我了解的漏洞详情做一个具体的分析。
Weblogic漏洞复现【含解密和shell连接工具】
02-20 1154
Weblogic漏洞复现,含解密和shell连接工具。
漏洞复现】京师心智心理健康测评系敏感信息泄露
weixin_52204925的博客
03-19 653
京师心智心理健康测评系统-账号密码泄露,攻击者可通过此漏洞获取敏感信息,从而为下一步攻击做准备
Weblogic 默认弱口令汇总及上传webshell
SoulCat
02-09 5997
weblogic 默认弱口令汇总及后台getshell 漏洞概述: 弱口令弱口令弱口令,重要事情说三遍。 默认弱口令: 账户 密码 system password weblogic weblogic guest guest portaladmin portaladmin admin security joe password mary passwor...
weblogic学习视频
p3348577008的博客
12-16 1476
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一
Weblogic漏洞 - Weblogic 弱口令漏洞
HAKUNAMATATATTA的博客
12-02 1872
WebLogic Server 是美国甲骨文( Oracle )公司开发的一款适用于云环境和传统环境的应用服务中间件,确切的说是一个基于 JavaEE 架构的中间件,它提供了一个现代轻型开发平台,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。将Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
中间件漏洞
weixin_56378389的博客
04-12 1557
Weblogic;Jboss
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
weblogic cmd命令漏洞检测
04-08
weblogic中cmd反序列号漏洞检测,必须要求是java8的环境启动,也可以选择对jboos的漏洞,对安全测评来说,比较重要,可以复现漏洞
雷石weblogic漏洞扫描工具
08-27
雷石weblogic漏洞扫描工具
中间件安全-CVE漏洞复现-Weblogic+JBoss+GlassFish
xiaoheizi的博客
07-16 129
读linux文件:/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd。我们使用bash来反弹shell,但由于Runtime.getRuntime().exec()中不能使用管道符等bash需要的方法,我们需要用进行一次编码。
安全工具系列 -- 信息收集
KHOST的博客
02-15 1375
信息收集概述 信息收集一般都是渗透测试前期用来收集,为了测试目标网站,不得不进行各种信息收集。信息收集要根据不同目标进行不同方向收集,工具部分会在下节课程进行讲解,根据个人渗透测试经验总结文章。本文只是抛砖引玉,希望可以给大家一个好的思路。如果文章中有环境搭建部分,靶场后续会在公众号中发布。视频在关注公众号以后,回复我要视频,管理员会在最快时间进行回复。 首先公开上一节中一张图,开始今天主题讲...
fofa搜索漏洞技巧
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-08 3382
fofa搜索漏洞技巧整理,主要有以下十个方面:搜索HTTP响应头中含有"thinkphp"关键词的网站和IP;加上标题带有后台的;加上时间,现在新网站有thinkphp日志泄露的有很多; 搜索html正文中含有"管理后台"关键词的网站和IP body="管理后台"等。 fofa搜索漏洞技巧整理1、搜索HTTP响应头中含有"thinkphp"关键词的网站和IP。 header="thinkphp" && country="CN"
weblogic-cve_2020_2555漏洞复现
0day
01-28 1824
weblogic-cve_2020_2555漏洞复现 漏洞概述: 该漏洞于2020年1月在网上爆出,属于weblogic反序列化漏洞漏洞原因是Oracle Fusion中间件 Oracle Coherence 存在缺陷,攻击者可利用该漏洞在未经授权下通过构造T3协议请求,获取 Weblogic 服务器权限,执行任意命令。 漏洞复现: Vulfocus平台拉取下载启动漏洞镜像环境: 访问漏洞环境地址端口11317,该端口映射在weblogic的服务端口7001,在url地址栏输入ip端口后添加
weblogic弱口令漏洞
最新发布
05-27
WebLogic是一种广泛使用的Java应用服务器,但在默认情况下,它会有一个弱口令漏洞。攻击者可以利用该漏洞通过一些简单的网络请求来获得WebLogic管理员权限,从而可以对服务器进行控制和攻击。 具体来说,当WebLogic...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曲折上升

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值