反序列化工具_Weblogic反序列化远程命令执行漏洞(CNVDC201948814)批量检测工具

最新推荐文章于 2024-08-09 07:01:50 发布
最新推荐文章于 2024-08-09 07:01:50 发布
阅读量525 收藏
点赞数
文章标签: 反序列化工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39785081/article/details/111334088
版权
本文提供了Weblogic反序列化远程命令执行漏洞(CNVD-C-2019-48814)的批量检测工具,帮助用户便捷地进行安全检查。工具使用说明中提到,可通过分享文章并获取提取码pvpf来下载工具。
摘要由CSDN通过智能技术生成
cf17874548edfb3519684f2df06bde6f.png

点击关注了解更多精彩内容!!

2019年4月17日,国家信息安全漏洞共享平台(CNVD)收录了由中国民生银行股份有限公司报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814),该漏洞存在于wls9-async组件当中,这个组件主要的作用是异步通讯服务,所以攻击者可以向/_async/AsyncResponseService路径下传入构造好的恶意xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,从而可以getshell。

为方便大家检测该漏洞制作了一个小工具,工具支持批量检测。

下面简单介绍一下使用方法: 94ab48ff501af1b9a98b5f71e9bb5f9e.png 1.工具主界面:

d71e24e5c76c4504f711e30173e0d8d0.png

94ab48ff501af1b9a98b5f71e9bb5f9e.png2.可以添加单个IP:

fc3abbaa2b323e08522653a7a19a7d07.png

94ab48ff501af1b9a98b5f71e9bb5f9e.png 3.也可直接将包含IP的txt文档拖入软件:

6119cd75158488698c1c57d7ab579894.png

94ab48ff501af1b9a98b5f71e9bb5f9e.png 4.然后点击按钮即可开始扫描:

d8b936ed2268672371284847014b7c36.png

94ab48ff501af1b9a98b5f71e9bb5f9e.png 5.状态栏内显示为202的则很有可能存在该漏洞:

0ae70e50d68940f1df49f0716503fe19.png

94ab48ff501af1b9a98b5f71e9bb5f9e.png 6.选中目标双击可用浏览器打开页面,页面显示如下图则可确定存在该漏洞:

4ae6859716d1413516b744bb247c52e6.png

温馨提示

如果你喜欢本文,请分享到朋友圈,想要获得Weblogic反序列化远程命令执行漏洞(CNVD-C-2019-48814)批量检测工具,请点击阅读全文,提取码:pvpf  。

End

d52bff47264d4f38998766675dfd1106.gif

a3beefaab9d359bfca0b2f07556b0516.png

weixin_39785081
关注
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
weblogic反序列化全版本漏洞利用工具
06-27
weblogic反序列化全版本漏洞利用工具,可执行命令
weblogic漏洞扫描工具 反序列化漏洞扫描工具
qq_44005305的博客
03-16 373
weblogic 漏洞扫描工具 妄想试图weblogic一把梭目前检测的功能console 页面探测 & 弱口令扫描uuid页面的SSRFCVE-2017-10271 wls-wsat页面的反序列化CVE-2018-2628 反序列化后期可以的话还会继续加功能的,主要是一些反序列化的poc真的不好写,我也不咋会..
WeblogicScan:一键漏洞检测工具的革命性选择
最新发布
gitblog_00168的博客
08-09 526
WeblogicScan:一键漏洞检测工具的革命性选择 WeblogicScanWeblogic一键漏洞检测工具,V1.5,更新时间:20200730项目地址:https://gitcode.com/gh_mirrors/we/WeblogicScan 在网络安全的世界里,快速而准确地识别漏洞是防御的第一步。WeblogicScan,一款由Tide_RabbitMask开发的一键漏洞检测工具,正...
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如... jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环
Weblogic全版本反序列化漏洞利用工具.jar
07-03
Weblogic全版本反序列化漏洞利用工具.jar 是一个专门针对Oracle WebLogic服务器的漏洞利用工具WebLogic是Oracle公司的一款企业级应用服务器,广泛应用于各类企业的业务系统开发和部署。这个.jar文件表明,该工具...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在WebLogic ...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
当程序不正确地处理反序列化数据时,恶意用户可能通过构造特殊的序列化对象来触发代码执行,这就是反序列化漏洞Weblogic是Oracle公司的一款流行的企业应用服务器,广泛用于部署企业级应用。在2017年,一个名为...
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
反序列化漏洞检查工具 Weblogic XML CVE-2017-10271
01-09
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
Java反序列化漏洞利用工具WebLogic&Jboss)
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化漏洞利用工具WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
weblogicCVE-2018-2628批量检测工具
05-08
weblogic-CVE-2018-2628-反序列化漏洞批量验证脚本。优化多线程检测。具备漏洞发现功能。
中间件漏洞--Weblogic反序列化
夜行者的博客
02-18 3003
检测方法1: 1)使用Weblogic中间件JAVA反序列测试工具,输入端口号与ip点击connect按钮; 2)若是结果出现connected!测试存在漏洞,出现connecting--测试不存在漏洞 检测方法2: 1)打开DOS,输入java -jar weblogic_cmd.jar-H “127.0.0.1” –P 7001–C “ipconfig”; 2)若能成功执行命令,则存在漏洞。 解决方法: 升级...
weblogic反序列化工具_JexBoss - JBoss (和其他 Java 反序列化漏洞) 验证和更新工具...
weixin_39681644的博客
12-10 442
JexBoss 是一个工具,用于测试和利用 JBoss 应用程序服务器和其他 Java 平台、框架、应用程序等中的漏洞。要求Python >= 2.7.xurllib3ipaddress在 Linux Mac 上安装要安装最新版本的JexBoss,请使用以下命令:git clone https://github.com/joaomatosf/jexboss.gitcd jexbosspip ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值