【漏洞复现】1. WebLogic 反序列化漏洞(CVE-2019-2890)复现与分析

最新推荐文章于 2025-03-17 20:54:58 发布
最新推荐文章于 2025-03-17 20:54:58 发布
阅读量2k 收藏 17
点赞数 34
分类专栏: WEB学习 # 漏洞复现 文章标签: weblogic 反序列化 漏洞复现 Vulhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43965597/article/details/136898896
版权
本文深入剖析了OracleWebLogic服务器上CVE-2019-2890漏洞,涉及漏洞原理、环境搭建、验证、利用过程以及修复策略,帮助读者理解和应对这一远程代码执行威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1. 基础知识

在这里插入图片描述

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

Weblogic有以下几点优势:

  1. Weblogic支持最新的Java EE 8和Java SE 11规范,可以让开发者使用最新的技术和API来构建应用。
  2. Weblogic提供了丰富的管理工具和API,可以实现运营自动化,提高效率和可靠性。
  3. Weblogic支持自动扩展和自动重启故障节点,可以保证应用的高可用性和可扩展性。
  4. Weblogic提供了Kubernetes部署和管理工具,可以让开发者在容器化和云原生的环境中运行应用。
  5. Weblogic与Oracle数据库和中间件集成,可以提供优化的性能、可用性和可支持性。

2. 复现

2.1 漏洞介绍

2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞,漏洞编号为CVE-2019-2890。
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
在这里插入图片描述

漏洞影响版本:

WebLogic Server 10.3.6.0
WebLogic Server 12.1.3.0
WebLogic Server 12.2.1.3

2.2 漏洞原理分析

漏洞代码位于weblogic.jar中weblogic.wsee.jaxws.persistence.PersistentContext.class文件,它的readObject函数调用了readSubject函数,readSubject函数中使用了ObjectInputStream.readObject来反序列化对象。
在这里插入图片描述
查看对应的writeObject的逻辑,只要我们给对应的localObjectOutputStream.writeObject()序列化一个恶意对象,则PersistentContext对象被反序列化时,它的readObject函数被调用,readSubject函数中对恶意对象进行反序列化。因此通过T3发送精心伪造的PersistentContext对象,则可成功绕过黑名单检查。

最低0.47元/天 解锁文章
Weblogic反序列化漏洞CVE-2019-2890
qq_68163788的博客
06-22 1508
Weblogic反序列化漏洞CVE-2019-2890)是一种在Oracle WebLogic Server中存在的严重安全漏洞,该漏洞允许远程攻击者通过发送特制的网络请求来执行任意代码,导致服务器被攻击者完全控制。 该漏洞的原因是由于WebLogic Server中的JDK组件Apache Commons Collections存在反序列化漏洞,攻击者可以利用此漏洞发送特制的序列化数据来执行任意代码。
Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)
qq_62987084的博客
10-16 1220
带你了解 Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)
探索CVE-2019-2890:Oracle WebLogic Server的安全漏洞修复方案
gitblog_00011的博客
04-03 515
探索CVE-2019-2890:Oracle WebLogic Server的安全漏洞修复方案 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个开源项目,专注于研究和解决Oracle WebLogic Server中的一项严重安全漏洞。该漏洞被命名为"CVE-2019-2890",允许远程攻击者通过特制的JSP文件执行任意代码,对系统的安全性...
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
中间件漏洞weblogic
最新发布
hcja666的博客
03-17 1122
百度百科:WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是美商Oracle的主要产品之一,是并购BEA得来。
Weblogic反序列化漏洞原理分析漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 1万+
WebLogic 存在远程代码执行漏洞CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
WebLogic 反序列化漏洞(CVE-2019-2890)
午夜安全
10-20 3406
WebLogic 反序列化漏洞(CVE-2019-2890) 漏洞描述 201910月15日,Oracle官方发布了201910月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以...
WebLogic 反序列化漏洞(CVE-2019-2890)复现(超详细)
热门推荐
总有人间一两风,填我十万八千梦
03-16 1万+
目录 一. 漏洞介绍 二. 影响范围 三. 漏洞环境搭建 四. 漏洞复现. 漏洞修复 六. 漏洞检测poc 很多漏洞复现文章都不够详细,就是你按照他写的去复现会出很多很多的问题。我综合了几篇文章,写下这最详细的复现步骤。希望能帮助大家少走弯路 一. 漏洞介绍 201910月15日,Oracle官方发布了201910月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。 Weblogi...
【网络安全---漏洞复现WebLogic 反序列化漏洞(CVE-2019-2890)漏洞复现
m0_67844671的博客
09-19 1956
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
Weblogic反序列化漏洞原理分析漏洞复现(CVE-2024-2628 CVE-2024-21839复现)_weblogic payload
2301_77121488的博客
05-13 1826
WebLogic 存在远程代码执行漏洞CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。JRMP是一个Java远程方法协议,该协议基于TCP/IP之上,RMI协议之下。
weblogic--反序列化漏洞测试Test
10-19
weblogic应用上的资源分享给大家,如涉及版本,请告知,谢谢。
WebLogic漏洞复现(附带修复方法)
C233333235的博客
08-07 2456
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,默认端口:7001WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Javaweb安全——Weblogic反序列化漏洞()
weixin_43610673的博客
12-11 3205
从原生反序列化过程开始谈起。
weblogic 反序列化CVE-2020-2883)漏洞复现
weixin_42675091的博客
09-03 1263
weblogic 反序列化CVE-2020-2883)漏洞复现
Weblogic反序列化漏洞CVE-2018-2628)
weixin_46411728的博客
11-15 4203
Weblogic反序列化漏洞CVE-2018-2628)
weblogic反序列化漏洞复现-XMLDecoder(CVE-2017-10271
yang1234567898的博客
04-21 1219
漏洞原因 Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 影响版本 10.3.6 12.1.3 12.2.1.1.0 12.2.1.2. 漏洞复现 启动vulhub靶场 看到上面的页面说明启动成功 先开启监听 然后发送下面的数据包(反弹语句需要编码): POST /wls-wsat/CoordinatorPortTy.
漏洞复现-反序列化-weblogic(CVE-2018-2628)
qq_38618396的博客
09-14 763
0x00 原理说明 1、了解什么是T3、RMI、JRMP? 2、了解什么是ysoserial.jar,以及如何使用? 0x01 环境搭建 搭建 环境搭建:docker + vulhub 搭建效果: 物理机:192.168.0.105 kali:192.168.233.129:7001 工具 1、nmap 2、ysoserial.jar 3、漏洞扫描脚本:https://github.com/rabbitmask/WeblogicScan 3、利用脚本:https://www.exploit-db.com/
vulhubWeblogicCVE-2018-2628)漏洞复现
qq_45300786的博客
04-10 2971
一、什么是WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 先提几个概念 JRMP:java remote method protocol,Java远程方法协议 JRMP是的Java技术协议的具
java反序列化漏洞复现
07-28
其中一种常见的Java反序列化漏洞WeblogicCVE-2017-10271CVE-2018-2628。这些漏洞可以通过构造恶意的序列化数据来执行任意代码。你可以参考相关的文章和工具来进行复现。例如,可以使用Weblogic的wls-wsat组件...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值