WebLogic

最新推荐文章于 2024-09-20 20:14:00 发布
最新推荐文章于 2024-09-20 20:14:00 发布
阅读量2.1k 收藏 22
点赞数 32
分类专栏: 常见中间件漏洞 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57524749/article/details/140971358
版权

Weblogic介绍

 WebLogic是美国Oracle公司出品的⼀个application server,确切的说是⼀个基于JAVAEE架构的中间

件,默认端⼝:7001 WebLogic是⽤于开发、集成、部署和管理⼤型分布式Web应⽤、⽹络应⽤和数据

库应⽤的Java应⽤服务器。将Java的动态功能和Java Enterprise标准的安全性引⼊⼤型⽹络应⽤的开

发、集成、部署和管理之中。

1 .后台弱⼝令GetShell

漏洞描述

通过弱⼝令进⼊后台界⾯ , 上传部署war包 , getshell

影响范围

全版本(前提后台存在弱⼝令)

环境搭建

cd vulhub-master/weblogic/weak_password

docker-compose up -d

漏洞复现

默认账号密码:weblogic/Oracle@123

weblogic常⽤弱⼝令:https://cirt.net/passwords?criteria=weblogic

这⾥注意, 单个账号错误密码5次之后就会⾃动锁定。

http://ip/console/login/LoginForm.jsp

 

1.登录后台后,点击部署,点击安装,点击上传⽂件。

weblogic Oracle@123

点击部署---》安装

 2.上传war包,jsp⽊⻢压缩成zip,修改后缀为war,上传 

 

一直下一步,到最后完成

3.访问部署好的war

http://1.15.136.212:7001/waa/waa.jsp

哥斯拉连接

2 .CVE-2017-3506

XMLDecoder反序列化漏洞

漏洞描述

Weblogic的WLS Security组件对外提供了webserver服务,其中使⽤了XMLDecoder来解析⽤户输⼊的

XML数据,在解析过程中出现反序列化漏洞,可导致任意命令执⾏。

影响版本

受影响版本:WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.1, 12.2.1.2。

环境搭建

cd vulhub-master/weblogic/weak_password

docker-compose up -d

漏洞复现

访问以下⽬录中的⼀种,有回显如下图可以判断wls-wsat组件存在

/wls-wsat/CoordinatorPortType

/wls-wsat/RegistrationPortTypeRPC

/wls-wsat/ParticipantPortType

/wls-wsat/RegistrationRequesterPortType

/wls-wsat/CoordinatorPortType11

/wls-wsat/RegistrationPortTypeRPC11

/wls-wsat/ParticipantPortType11

/wls-wsat/RegistrationRequesterPortType11

1.验证是否存在wls-wsat组件

http://1.15.136.212:7001/wls-wsat/CoordinatorPortType

利用反序列话工具测试 

 

 复制IP连接哥斯拉

 

漏洞修复
19 更新到最新版本,打上10271的补丁,对访问wls-wsat的资源进⾏访问控制 ,或者根据业务所有需求,考
虑是否删除WLS-WebServices组件。包含此组件路径为:
○ Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_interna
l/wls-wsat
○ Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/w ls
wsat.war
Middleware/wlserver_10.3/server/lib/wls-wsat.war
以上路径都在WebLogic安装处。删除以上⽂件之后,需重启WebLogic。确认http://weblogic_ip/wls
w sat/ 是否为404⻚⾯。

 

 

oracle查看weblogic用户,Weblogic 默认用户名密码问题
weixin_39701768的博客
04-12 4161
通过阅读Oracle相关文档发现ADF应用的部署发布方式在新版本中做了一些更改,于是今天想进行下研究测试,启动JDeveloper自带 的WebLogic,并打开控制台页面后,输入用户名密码weblogic/weblogic进行登录,却发现无法正常登录,提示用户名/密码错误。试验 了几次不成功后,求助于Oracle官方提供的文档,在e13852.pdf中有段关于用户名密码的描述:Defaul...
Oracle WebLogic Server 11g 安装部署(windows)
03-14
Oracle WebLogic Server 11g 安装部署(windows)
weblogic忘记用户名或者密码的解决方法
xuanfengwu的专栏
05-11 603
weblogic安装后,忘记访问控制台的用户名或者密码,可通过以下步骤来重置用户名密码。 版本:WebLogic Server 10.3 说明:%DOMAIN_HOME%:指WebLogic Server 域(Domain)目录 例如我的做测试的域的根目录 DOMAIN_HOME=D:/Weblogic/Middleware/user_projects/domains/base_domain 1....
Weblogic默认用户名密码weblogic/weblogic
热门推荐
maxDreame的专栏
12-16 1万+
 Weblogic默认用户名密码weblogic/weblogic该设置存在与Weblogic的安装目录下的/weblogic92/samples/domains/wl_server/config/config.xml中
Weblogic中间件漏洞
最新发布
m0_75036923的博客
09-20 747
环境搭建漏洞复现 默认账号密码weblogic/Oracle@123 weblogic常⽤弱⼝令:https://cirt.net/passwords?1.登录后台后,点击部署,点击安装,点击上传⽂件。2.上传war包,jsp⽊⻢压缩成zip,修改后缀为war,上传然后⼀直下⼀步3.访问部署好的war 192.168.0.115:7001/1/1.jsp。
Java系列:Window 10 安装 Weblogic 12.2.1.4.0并简单部署
01-12
在本教程中,我们将深入探讨如何在Windows 10操作系统上安装Oracle的WebLogic Server 12.2.1.4.0版本,并进行简单的应用部署。WebLogic Server是一款广泛使用的Java EE应用服务器,用于开发、部署管理企业级应用...
Weblogic-OPatch-13.9.4.2.5
05-04
WebLogic Server是Oracle公司的一款企业级Java应用服务器,它提供了用于构建、部署管理企业级Java应用程序的全面平台。在WebLogic Server的运营维护中,OPatch是一个关键工具,用于安装、更新卸载Oracle产品中的...
weblogic-10.3.6 220719补丁
09-19
WebLogic Server是Oracle公司的一款企业级Java应用服务器,它提供了用于构建、部署管理企业级Java应用程序的平台。本知识点将详细解析“weblogic-10.3.6 220719补丁”及其相关的文件内容。 标题中的"weblogic-...
1.1、WebLogic jdk1.8 weblogic(12)的下载与安装1
08-08
WebLogic介绍】 WebLogic是由美国BEA公司(现已被Oracle收购)开发的一款Application Server,它是一个基于Java EE架构的中间件。中间件在IT领域中扮演着连接不同系统应用的角色,使得企业能够构建、集成管理...
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625)补丁包
08-17
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625) 补丁包 对应的weblogic的版本是12.1.3.0 有需要的下载
weblogic 12c下载12.2.1.4.0的linux通用版本下载
10-26
静默安装包,weblogic_12.2.1.4.0,weblogic12c最新版本,已测有效! WebLogic 12c是一个Java应用服务器,由Oracle公司开发。它提供了构建、部署管理企业级Java应用程序所需的一切,包括一个集成的开发环境、一个...
Weblogic之domain启动,设置默认用户名密码 以及遇到的问题
beishanyingluo的博客
08-06 6904
Weblogic的domain实例在启动,需要设置默认密码等。如果在启动的时候,没有设置默认密码,会出现异常。 下面来写一下domain实例启动,密码设置(再次启动可以不用再输入密码),服务部署数据源配置: 步骤1: 在控制台,进入到domain实例的安装目录,在Linux控制台,执行: sh startWeblogic.sh 启动时,需要手动输入用户名密码。 启动完成后,执行命令: net...
Weblogic
weixin_45253622的博客
03-06 580
Weblogic常识 http为7001端口,https为7002端口 Google关键字:WebLogic Server AdministrationConsole inurl:console 默认用户名密码 用户名密码均为:weblogic 用户名密码均为:system 用户名密码均为:portaladmin 用户名密码均为:guest 上传地方:workshop> Deployments> Web应用程序> 部署新的 Web 应用程序模块>上传war的webshell。
oracle weblogic安装部署,Weblogic 11g 安装与部署
weixin_31458459的博客
04-12 983
一:安装与配置1. 点击下一步 2.创建新的中间件主目录 3.去掉接受安全更新 4.默认典型安装类型,并点击下一步 5.默认产品安装目录,并点击下一步 6.默认所有用户,并点击下一步 7.安装摘要,并点击下一步 8.正在安装 9.安装完成,运行QuickStart,并点击完成 10. weblogic配置10.1.Getting started with Weblogic Server 10.2...
weblogic
程柯梦想
04-25 222
weblogic安装 https://jingyan.baidu.com/album/59a015e3568379f795886567.html?picindex=1
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 1049
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
通过任意文件读取获取weblogic账号密码
mashiro_hibiki的博客
05-13 884
对于weblogic获取到账号密码的前提是有任意文件读取存在,当任意文件读取存在时是可以读取配置文件来对账号密码进行解密。weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。在该测试环境中的配置文件路径为
客户端访问Weblogic的一段例程
dengyunze
11-15 1345
      在Weblogic上部署了一个stateless ejb,然后新建一个java application,访问这个stateless ejb。      非常简单,先设置好InitialContext的几个参数,然后创建一个InitialContext,查询ejb的JNDI。JNDI可以从weblogic的console管理员页面上看到:点击配置页面的Servers/myserver,可
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值