weblogic中ssrf漏洞修复_Weblogic SSRF漏洞

最新推荐文章于 2024-05-15 13:39:14 发布
最新推荐文章于 2024-05-15 13:39:14 发布
阅读量636 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35860326/article/details/112415229
版权

一、漏洞概述:

    Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。

二、漏洞环境搭建:

    1、使用docker+vulhub安装(菜没有办法)

bc156edb7245fa70ea7adfb8f26d9350.png

    2、查看是否安装成功(注意需要访问的是7001端口)

            成功安装

60781617a8988757c682789c8b0def40.png

三、漏洞验证

        1、验证漏洞是否存在,点击Search Public Registries然后进行提交,然后抓包:

        修改提交的参数operator为服务器ip:port(也可以在get方法中传输)

operator=http://118.25.96.254:7001&rdoSearch=name&txtSearchname=&txtSearchkey=&txtSearchfor=&selfor=Business+loca
最低0.47元/天 解锁文章
Noire02
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
Weblogic SSRF漏洞复现
huangyongkang666的博客
07-22 1229
Weblogic SSRF漏洞复现
Weblogic SSRF
最新发布
weixin_45653478的博客
05-15 1108
SSRF漏洞通常是由于服务端提供了从其他服务器应用获取数据的功能,并且没有对目标地址进行过滤与限制。攻击者可以利用这个漏洞,通过篡改获取资源的请求发送给服务器,服务器在没有发现这个请求是非法的情况下,会以自身的身份去访问其他服务器的资源。
weblogicssrf漏洞修复_Weblogic-SSRF漏洞的复现
weixin_39922361的博客
12-22 380
一、环境靶机:centos7虚拟机 ip:192.168.8.11物理机:windows10burp suite二、原理SSRF原理:是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息,所...
weblogic间件漏洞汇总
混子
11-24 8864
目录一、weblogic是什么?二、安装环境1、下载weblogic2、安装(其实就是点点点啦)三、反序列化漏洞1、XMLDecoder(CVE-2017-102712、XMLDecoder (CVE-2017-35063、wls-wsat远程代码执行(CVE-2019-27254、T3协议命令执行(CVE-2018-26285、 IIOP(CVE-2020-2551四、SSRF1、SSRF(CVE-2014-42102. SSRF联动Redis3、防御五、未授权访问1、Console HTTP协议远程代码
Weblogic SSRF漏洞,2024最新网络安全面试真题解析
2401_84103100的博客
04-04 992
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
WebLogic SSRF And XSS检查利用工具.exe
08-11
非常简单方便/实用的WebLogic SSRF And XSS检查利用工具
Weblogic漏洞扫描工具
02-22
本篇将详细探讨"Weblogic漏洞扫描工具"的相关知识点,包括Weblogic漏洞类型、反序列化攻击、SSRF漏洞以及如何进行有效的漏洞扫描。 首先,我们要理解Weblogic的`console页面探测`。Weblogic Console是Weblogic...
104-web漏洞挖掘之SSRF漏洞1
08-03
SSRF(Server-Side Request Forgery)漏洞是网络安全领域的一种常见问题,它允许攻击者通过构造特定的请求,使得服务器端发起恶意的外部请求。SSRF漏洞的本质是利用服务器作为一个代理,攻击者可以借此访问那些仅...
间件漏洞 | weblogic-ssrf
weixin_52116519的博客
10-22 826
Weblogic存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,探测内网IP及端口的开放情况,进而攻击内网redis、fastcgi等脆弱组件。漏洞版本:weblogic 10.0.2-10.3.6。
weblogic间件漏洞总结
weixin_42345596的博客
08-14 3343
一.weblogic简介 WebLogic是美国Oracle公司出品的一个application server确切的说是一个基于JAVAEE架构的间件,BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之WebLogic Se
[漏洞复现]Weblogic SSRF漏洞复现
wwxxee
05-20 594
Weblogic SSRF漏洞复现 环境:vulhub/weblogic/ssrf 漏洞点 http://192.168.17.134:7001/uddiexplorer/SearchPublicRegistries.jsp 通过抓包发现: 将此处替换为其他的地址可以有不同的回显。 例如: http://127.0.0.1:7001 回显: weblogic.uddi.client.structures.exception.XML_SoapException: The server at http://1
漏洞复现】Weblogic SSRF漏洞复现
Miraitowax
02-22 940
Weblogic SSRF的漏洞原理,漏洞复现步骤详细总结及剖析
Weblogic-SSRF漏洞复现
m0_65150886的博客
10-18 145
7.从URL关键字寻找:share、wap、url、link、src、source、target、u、3g、display、sourceURI、imageURL、domain……4.协议限制绕过 当url协议限制只为http(s)时,可以利用follow redirect特性,构造302跳转服务,结合dict://,file://,gopher://。1.过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。可以防止类似于file:///,gopher://,ftp:// 等引起的问题。
weblogic异常之Tried all: '1' addresses, but could not connect over HTTP to server: 'java.sun.com', port
热门推荐
高新富的博客
10-27 1万+
1.异常描述 com.ctc.wstx.exc.WstxIOException: Tried all: '1' addresses, but could not connect over HTTP to server: 'java.sun.com', port: '80' at com.ctc.wstx.sr.StreamScanner.throwFromIOE(StreamScanner.ja...
weblogic漏洞ssrf
08-15
vulhub weblogic ssrf漏洞是指在WebLogic服务器存在一种安全漏洞,攻击者可以利用该漏洞来发起服务器端请求伪造(SSRF)攻击。攻击者可以利用该漏洞来访问受保护的内部网络资源,或者利用该漏洞来发起其他攻击,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值