weblogic发序列化命令执行漏洞工具分享

最新推荐文章于 2024-04-26 19:44:17 发布
最新推荐文章于 2024-04-26 19:44:17 发布
阅读量2k 收藏 3
点赞数 3
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011790603/article/details/97753835
版权

weblogic发序列化命令执行漏洞工具分享
weblogic发序列化命令执行漏洞工具分享(链接: https://pan.baidu.com/s/1qE5MFJ32672l-MMl-QL-wQ 密码: d85j)

JBOSS_EXP 工具分享(链接: https://pan.baidu.com/s/1SF_0oSN_lar9dkTWOZKDDw 密码: zfrd)

oracle提权执行命令工具oracleshell 工具分享(链接: https://pan.baidu.com/s/1boILwEr 密码: 3h13)

udf 提权小工具

前言:假如给你一个网站,知道 mssql 数据库,账号root密码123456,可以外连。 并且 phpmyadmin 是没有的,网站方面假设是没有问题的,当然也存在连上数据库,找网站后台的账号密码的情况,存在 phpmysqmin 的情况下,通过写一句话拿 shell ,暂时先不讨论这种方面。

提权的话,我们一般都是连上菜刀执行 sql 语句,或者直接用 udf.php 等提权脚本进行提升权限。

而现在,我们在 mysql 数据库可以外连的情况下,直接可以进行提权。

root的账号密码储存在数据库mysql下的user表中

通过 udf 提权进行提权:

使用方法:java -jar udf.jar 127.0.0.1 root 123456 [32/64] //最后一个参数为可选参数,不填则默认是32位

下载链接:http://pan.baidu.com/s/17ccOI 提取密码:nku4

洪小帮主
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
weblogic序列化漏洞测试jar包
02-17
weblogic序列化漏洞测试jar包 如涉及版权问题请与我联系
Javaweb安全——Weblogic序列化漏洞(一)
weixin_43610673的博客
12-11 2903
从原生反序列化过程开始谈起。
shiro反序列化漏洞学习(工具+原理+复现)
qq_53058639的博客
04-26 1163
工具准备2.冰蝎 C:\Users\ali\Desktop\tools\Behinder_v4.0.63.shiro反序列化 图形化工具4.shiro反序列化 命令工具一.Shiro-550 CVE-2016-4437序列化:在Java中,把Java对象转换为字节序列(json/xml)的过程叫序列化。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化。Shiro反序列化:Apache。
Weblogic漏洞利用工具的下载以及使用方法,附带链接
2301_76983011的博客
10-07 704
完成之后就是这样的一个压缩包,别担心,我这里的文件图标开始也是白色的,因为我是用idea打开的,(idea网上有教程,这里不说了)网上说的是把它放到你的jdk的bin目录下直接cmd敲一段命令,但是我的不管用,也没有人说这种问题,我也不知道咋解决。#有些时候自己一个人在网上找工具的时候真的挺难的,比如我,好不容易找到了可以下载的链接,下载完系统又告诉我不能安装,真的好难。网上解决的方法又如出一辙,对自己根本没太大的帮助。之前找了好多weblogic的下载链接,下载的很慢,完了之后又安装不了,真的想骂人!
weblogic漏洞工具检测上传webshell
m0_53073183的博客
02-02 1556
weblogic 漏洞工具检测上传webshell
【渗透测试】Weblogic系列漏洞
weixin_53972936的博客
11-01 3317
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开、集成、部署和管理之中。
WebLogic序列化漏洞复现+利用工具(CVE-2021-2394)
0xSec
04-08 4281
Oracle官方布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。
v1.1!最新版Weblogic漏洞利用工具
潇湘信安的博客
07-16 734
迫于目前现有的weblogic工具没怎么更新、payloay jdk适用版本等问题,所以基于superman18、sp4zcmd等项目,写一个weblogic工具工具运行版本要求jdk 8,支持漏洞检测、命令执行、内存马注入、密码解密等(深信服深蓝实验室天威战队强力驱动)。
weblogic CVE-2018-2628漏洞利用工具
weixin_30294021的博客
07-13 1322
weblogic CVE-2018-2628漏洞利用 漏洞环境: Windows2018R2 weblogic10.3.6 漏洞利用过程: 搭建好存在CVE-2018-2628漏洞weblogic平台 使用工具获得shell 运行脚本,执行命令 漏洞利用工具: 本文仅用于漏洞学习利用,禁止非法利...
weblogic漏洞利用工具_CVE20192618Weblogic weak password+文件上传漏洞复现
weixin_39571087的博客
12-12 1915
一、漏洞介绍0x01 weblogic常见弱口令system/passwordweblogic/weblogicadmin/securityjoe/passwordmary/passwordsystem/securitywlcsystem/wlcsystemwlpisystem/wlpisystemweblogic/Oracle@1230x02 漏洞介绍 CVE-2019...
weblogic序列化全版本漏洞利用工具
06-27
weblogic序列化全版本漏洞利用工具,可执行命令
Weblogic全版本反序列化漏洞利用工具.jar
07-03
Weblogic全版本反序列化漏洞利用工具.jar
Java反序列化终极测试工具.zip
04-10
Java反序列化终极测试工具(里面有两款)
Weblogic GetShll&CMD;漏洞检测利用工具.rar
08-20
渗透测试中使用,可以用于检测weblogic漏洞执行CMD命令,获取服务器权限,本程序仅供检测和学习用途,请勿用于其他任何非法用途!
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Weblogic漏洞扫描工具
02-22
console 页面探测 & 弱口令扫描、uuid页面的SSRF、CVE-2017-10271 wls-wsat页面的反序列化、CVE-2018-2628 反序列化等功能。
weblogic basedoman 加载两个项目_Weblogic常见高危漏洞的综合利用
weixin_39747341的博客
12-12 395
WebLogic是Oracle公司出品的一个基于JAVAEE架构的中间件,用于开、集成、部署和管理大型分布式Web应用。在国内外应用广泛,由于用的多,对其进行漏洞挖掘的大佬就多了,从而动不动就报个高危漏洞,打补丁都要累死人,最近两天又报多个高危漏洞了,本文不讲最新漏洞的利用,因为我也不知道怎么利用,通过整理和分析以前公开的高危漏洞,形成一个综合利用的工具,能够快速现和利用Weblog...
weblogic漏洞利用工具_CVE202014645 Weblogic远程代码执行漏洞分析
weixin_39797758的博客
12-12 2222
一. 说明本文将针对Weblogic CVE-2020-14645漏洞进行分析和复现,仅从技术角度进行研究与讨论,严禁用于非法用途,违者后果自负。PS:本攻略由群友飞翔的delacroix(305536130)及Z(997362569)供稿,本人审稿。二、漏洞描述WebLogic是美国Oracle公司出品的一个application server,是一个基于JAVAEE架构的中间件,We...
Jboss未授权访问部署木马 利用exp
weixin_30216561的博客
04-26 456
查看系统名称 java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName 查看系统版本 java -jar jboss_exploit_fat.jar -i http://www.any.c...
weblogic序列化漏洞执行命令
最新发布
06-25
WebLogic序列化漏洞是指WebLogic 应用服务器中的一个安全漏洞,攻击者可以通过恶意构造的数据,利用反序列化功能将这些数据转换为可执行代码,从而在服务器上执行任意命令或获取敏感信息。这是基于Java序列化和反序列化过程中的设计缺陷。 当服务器尝试将序列化的数据反序列化回内存时,如果接收的数据来自不可信来源,可能会导致恶意代码被执行。攻击者通常会送精心构造的序列化对象,这个对象中包含了恶意脚本或命令WebLogic服务器在解析时就可能触这些操作。 由于WebLogic序列化漏洞的具体执行命令取决于攻击者的恶意payload,这可能包括但不限于: 1. 执行系统命令(如`system.exec()`) 2. 获取服务器敏感信息 3. 修改服务器配置或文件 4. 提升权限至管理员 为了避免这种攻击,应该及时更新WebLogic到最新版本,并实施严格的输入验证,禁用不安全的序列化功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值