weblogic漏洞利用工具_Oracle WebLogic多个安全漏洞提示

最新推荐文章于 2024-06-13 09:55:16 发布
最新推荐文章于 2024-06-13 09:55:16 发布
阅读量353 收藏
点赞数
文章标签: weblogic漏洞利用工具

1.漏洞公告

2020年1月14日,Oracle官方发布了2020年1月安全更新公告,包含了其家族多个产品的安全漏洞公告。

其中有两个Oracle WebLogic Server的高危漏洞,对应CVE编号:CVE-2020-2546和CVE-2020-2551,漏洞公告链接:

https://www.oracle.com/security-alerts/cpujan2020.html

2.影响范围

CVE-2020-2546漏洞影响版本:

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

CVE-2020-2551漏洞影响版本:

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0,

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

补丁下载:

用户可以登录Oracle官网下载安全更新补丁,不过目前仅有12.2.1.4.0版本提供,其他版本请及时关注官方补丁发布通知。

3.漏洞描述

CVE-2020-2546漏洞:主要涉及WebLogic Server的Application Container - JavaEE组件,默认监听的T3协议存在远程代码执行漏洞,成功利用该漏洞可以获取WebLogic Server的服务运行权限,建议尽快更新安全补丁。

CVE-2020-2551漏洞:主要涉及WebLogic Server的WLS Core Components组件,默认监听的IIOP协议存在反序列化远程代码执行漏洞,以Java接口的形式对远程对象进行访问,该漏洞可以绕过Oracle官方在2019年10月份发布的最新安全补丁。攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口,传入恶意数据,成功利用该漏洞可以获取WebLogic Server的服务运行权限,建议尽快更新安全补丁。

4.缓解措施

高危:目前漏洞细节和利用代码暂未公开,但恶意攻击者可能对安全更新补丁进行对比分析出漏洞原因,并进一步开发出漏洞利用代码或工具,建议及时测试并安装安全更新补丁,或采取临时缓解措施加固系统。

临时缓解措施:

CVE-2020-2546漏洞:建议尽快安装安全更新补丁(可以使用BSU智能更新)或使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议:

连接筛选器:weblogic.security.net.ConnectionFilterImpl

规则示例:

0.0.0.0/0 * 7001 deny t3 t3s #拒绝所有访问

允许和拒绝指定IP规则示例:

192.168.1.0/24 * 7001 allow t3 t3s #允许指定IP段访问

192.168.2.0/24 * 7001 deny t3 t3s #拒绝指定IP段访问

连接筛选器说明参考:

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

CVE-2020-2551漏洞:可以通过临时关闭IIOP协议对该漏洞进行缓解。操作如下:

在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。

4294200be5bc8a2ced73f211a0a5a7b3.png

安全运营建议:Oracle WebLogic历史上已经报过多个安全漏洞(其中多为反序列化漏洞),建议使用该产品的企业经常关注官方安全更新公告。

271584433d312a42916b45eb405c793f.png
weixin_39949297
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
weblogic漏洞利用工具-WeblogicTool
siu~
08-17 2561
WeblogicTool,GUI漏洞利用工具,支持漏洞检测、命令执行、内存马注入、密码解密等(深信服深蓝实验室天威战队强力驱动)
【护网必备】外网打点必备-WeblogicTool
最新发布
Fly_鹏程万里
06-13 597
工具仅能在取得足够合法授权的企业安全建设中使用,在使用本工具过程中,您应确保自己所有行为符合当地的法律法规。如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有贡献者不承担任何法律及连带责任。迫于目前现有的weblogic工具没怎么更新、payloayjdk适用版本等问题,所以基于superman18、sp4zcmd等项目,写一个weblogic工具工具运行版本要求jdk 8(深信服深蓝实验室天威战队强力驱动)与jrmp漏洞使用方法一样,需要启动vps服务端。
Weblogic漏洞扫描工具
02-22
console 页面探测 & 弱口令扫描、uuid页面的SSRF、CVE-2017-10271 wls-wsat页面的反序列化、CVE-2018-2628 反序列化等功能。
Weblogic GetShll&CMD;漏洞检测利用工具.rar
08-20
渗透测试中使用,可以用于检测weblogic漏洞并执行CMD命令,获取服务器权限,本程序仅供检测和学习用途,请勿用于其他任何非法用途!
探索WeblogicExploit-GUI:一款强大的WebLogic漏洞利用工具
gitblog_00031的博客
04-14 1435
探索WeblogicExploit-GUI:一款强大的WebLogic漏洞利用工具 项目地址:https://gitcode.com/sp4zcmd/WeblogicExploit-GUI 在网络安全领域,能够及时发现和利用漏洞是至关重要的。今天,我们向大家推荐一个开源项目——WeblogicExploit-GUI,这是一个专为WebLogic服务器设计的图形化漏洞利用工具。它可以帮助安全研究人...
v1.1!最新版Weblogic漏洞利用工具
潇湘信安的博客
07-16 805
迫于目前现有的weblogic工具没怎么更新、payloay jdk适用版本等问题,所以基于superman18、sp4zcmd等项目,写一个weblogic工具工具运行版本要求jdk 8,支持漏洞检测、命令执行、内存马注入、密码解密等(深信服深蓝实验室天威战队强力驱动)。
weblogic漏洞利用工具_CVE202014645 Weblogic远程代码执行漏洞分析
weixin_39797758的博客
12-12 2274
一. 说明本文将针对Weblogic CVE-2020-14645漏洞进行分析和复现,仅从技术角度进行研究与讨论,严禁用于非法用途,违者后果自负。PS:本攻略由群友飞翔的delacroix(305536130)及Z(997362569)供稿,本人审稿。二、漏洞描述WebLogic是美国Oracle公司出品的一个application server,是一个基于JAVAEE架构的中间件,We...
Weblogic_Scan:一款Weblogic漏洞扫描工具,批量ip,多端口检测
05-26
:police_officer_light_skin_tone:‍ 使用方法&免责 usage: python3 weblogic_scan.py [ip.txt] [Thread_num] 1、批量检测weblogic漏洞工具,兼容Linux和Windows 2、自己可以自定义扫描端口,端口字典在 /Payload/default_data/dict_ports.py 3、所有请求全部通过socket模块进行,为了防止遗漏,web请求相关Payload模块都进行 http/https两种验证模式 4、结果存放在Output目录下 5、工具仅用于安全人员安全测试,任何未授权检测造成的直接或者间接的后果及损失,均由使用者本人负责
探索WebLogic Unserialize Exploit:一款强大的安全漏洞利用工具
gitblog_00019的博客
03-29 819
探索WebLogic Unserialize Exploit:一款强大的安全漏洞利用工具 项目地址:https://gitcode.com/hanc00l/weblogic_unserialize_exploit 简介 在网络安全的世界中,了解和应对漏洞是至关重要的。Weblogic_unserialize_exploit 是一个由hanc00l开发的开源项目,专门针对Oracle WebLog...
weblogic反序列化全版本漏洞利用工具
06-27
weblogic反序列化全版本漏洞利用工具,可执行命令
Weblogic全版本反序列化漏洞利用工具.jar
02-01
weblogic反序列化检测工具
weblogic漏洞检测集合工具
11-17
weblogic漏洞检测集合工具支持一键检测多个weblogic漏洞weblogic漏洞检测集合工具支持一键检测多个weblogic漏洞
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环
中间件安全:Weblogic 反序列化漏洞.(使用工具可以利用多种类型漏洞)
网络安全领域___专研者.
11-27 1867
WebLogic 是美国 Oracle 公司出品的一个 application server,确切的说是一个基于 JAVA EE 架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
weblogic漏洞扫描工具 反序列化漏洞扫描工具
Innocence_0的博客
03-16 1301
weblogic漏洞扫描工具 反序列化漏洞扫描工具
JavaWeb安全面试:Shiro、Fastjson与Weblogic漏洞探讨
"某亭红队面试.pdf" 面试中涉及的知识点主要...这些知识点涵盖了网络安全领域的多个方面,包括漏洞利用、安全框架的弱点以及企业级服务器的安全问题。理解和掌握这些内容对于红队成员或网络安全专业人员来说至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值