WebLogic

于 2024-08-07 08:35:53 发布
阅读量1.4k 收藏 20
点赞数 32
分类专栏: 常见中间件漏洞 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57524749/article/details/140971358
版权

Weblogic介绍

 WebLogic是美国Oracle公司出品的⼀个application server,确切的说是⼀个基于JAVAEE架构的中间

件,默认端⼝:7001 WebLogic是⽤于开发、集成、部署和管理⼤型分布式Web应⽤、⽹络应⽤和数据

库应⽤的Java应⽤服务器。将Java的动态功能和Java Enterprise标准的安全性引⼊⼤型⽹络应⽤的开

发、集成、部署和管理之中。

1 .后台弱⼝令GetShell

漏洞描述

通过弱⼝令进⼊后台界⾯ , 上传部署war包 , getshell

影响范围

全版本(前提后台存在弱⼝令)

环境搭建

cd vulhub-master/weblogic/weak_password

docker-compose up -d

漏洞复现

默认账号密码:weblogic/Oracle@123

weblogic常⽤弱⼝令:https://cirt.net/passwords?criteria=weblogic

这⾥注意, 单个账号错误密码5次之后就会⾃动锁定。

http://ip/console/login/LoginForm.jsp

 

1.登录后台后,点击部署,点击安装,点击上传⽂件。

weblogic Oracle@123

点击部署---》安装

 2.上传war包,jsp⽊⻢压缩成zip,修改后缀为war,上传 

 

一直下一步,到最后完成

3.访问部署好的war

http://1.15.136.212:7001/waa/waa.jsp

哥斯拉连接

2 .CVE-2017-3506

XMLDecoder反序列化漏洞

漏洞描述

Weblogic的WLS Security组件对外提供了webserver服务,其中使⽤了XMLDecoder来解析⽤户输⼊的

XML数据,在解析过程中出现反序列化漏洞,可导致任意命令执⾏。

影响版本

受影响版本:WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.1, 12.2.1.2。

环境搭建

cd vulhub-master/weblogic/weak_password

docker-compose up -d

漏洞复现

访问以下⽬录中的⼀种,有回显如下图可以判断wls-wsat组件存在

/wls-wsat/CoordinatorPortType

/wls-wsat/RegistrationPortTypeRPC

/wls-wsat/ParticipantPortType

/wls-wsat/RegistrationRequesterPortType

/wls-wsat/CoordinatorPortType11

/wls-wsat/RegistrationPortTypeRPC11

/wls-wsat/ParticipantPortType11

/wls-wsat/RegistrationRequesterPortType11

1.验证是否存在wls-wsat组件

http://1.15.136.212:7001/wls-wsat/CoordinatorPortType

利用反序列话工具测试 

 

 复制IP连接哥斯拉

 

漏洞修复
19 更新到最新版本,打上10271的补丁,对访问wls-wsat的资源进⾏访问控制 ,或者根据业务所有需求,考
虑是否删除WLS-WebServices组件。包含此组件路径为:
○ Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_interna
l/wls-wsat
○ Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/w ls
wsat.war
Middleware/wlserver_10.3/server/lib/wls-wsat.war
以上路径都在WebLogic安装处。删除以上⽂件之后,需重启WebLogic。确认http://weblogic_ip/wls
w sat/ 是否为404⻚⾯。

 

 

这河狸吗.
关注
专栏目录
Oracle WebLogic Server 11g 安装和部署(windows)
03-14
Oracle WebLogic Server 11g 安装和部署(windows)
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625)补丁包
08-17
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625) 补丁包 对应的weblogic的版本是12.1.3.0 有需要的下载
oracle weblogic安装和部署,Weblogic 11g 安装与部署
weixin_31458459的博客
04-12 942
一:安装与配置1. 点击下一步 2.创建新的中间件主目录 3.去掉接受安全更新 4.默认典型安装类型,并点击下一步 5.默认产品安装目录,并点击下一步 6.默认所有用户,并点击下一步 7.安装摘要,并点击下一步 8.正在安装 9.安装完成,运行QuickStart,并点击完成 10. weblogic配置10.1.Getting started with Weblogic Server 10.2...
weblogic
程柯梦想
04-25 193
weblogic安装 https://jingyan.baidu.com/album/59a015e3568379f795886567.html?picindex=1
oracleweblogic基本信息
hualusiyu的专栏
03-22 1257
https://192.168.10.121:1158/em sqlplus /nolog conn / as sysdba @E:\app\Administrator\product\11.2.0\dbhome_1\RDBMS\ADMIN\awrrpt.sql oracle sid:test user: sys system都是test 安装目录E:\app weblo
weblogic-10.3.6 220719补丁
09-19
WebLogic Server是Oracle公司的一款企业级Java应用服务器,它提供了用于构建、部署和管理企业级Java应用程序的平台。本知识点将详细解析“weblogic-10.3.6 220719补丁”及其相关的文件内容。 标题中的"weblogic-...
weblogic 12c下载12.2.1.4.0的linux通用版本下载
10-26
静默安装包,weblogic_12.2.1.4.0,weblogic12c最新版本,已测有效! WebLogic 12c是一个Java应用服务器,由Oracle公司开发。它提供了构建、部署和管理企业级Java应用程序所需的一切,包括一个集成的开发环境、一个...
weblogic10.3.3之后版本升级至weblogic10.3.6文档.docx
04-21
### WebLogic 10.3.3 至 10.3.6 升级指南 #### 一、概述 本指南旨在详细介绍如何从WebLogic Server 10.3.3及其后续版本升级到10.3.6版本的具体步骤。升级过程中需要考虑的因素以及必要的准备措施也将被涵盖。 ###...
weblogic_tls及ssl类漏洞修复方案
05-18
标题中的“weblogic_tls及ssl类漏洞修复方案”是指一套旨在针对Oracle WebLogic服务器中TLS(传输层安全协议)和SSL(安全套接层)相关安全漏洞的修复措施。TLS和SSL是广泛用于互联网通信加密的技术,能够保证数据...
Weblogic10.3.6补丁2021.04.zip
08-05
WebLogic Server是Oracle公司的一款企业级Java应用服务器,它提供了用于构建、部署和管理企业级Java应用程序的平台。本文将详细介绍WebLogic Server 10.3.6版本的补丁更新,以及如何进行有效的补丁安装,以确保系统...
Oracle WebLogic Server开发权威指南
12-22
本书于2011-11月出版,此为该书的前面部分章节电子版 首先,这是一本高水平的书,作为对Oracle 在线文档和其他Java EE 及WebLogic Server 技术 的入门书的补充,向中高级开发人员、架构师和管理员提供了对关键的Java EE 开发和部署技术 的深入讲解。本书跳过了基础内容,避免重复很容易从其他地方找到的信息,关注其他地方没有 提到的信息和技术。本书由Oracle 公司权威人士和企业级Java EE 应用程序开发专家组成的作者 团队编写,是对其他书籍和参考资料的延伸。 其次,本书描述了思路。不只是简单地罗列出解决问题的各种可选方案,而后让你自己去做 出决策,而且分享了我们的思考过程,给你提供了在应用程序开发和管理过程中能够使用的具体 建议和最佳实践。本书讲解了不同的设计方案、体系结构、构建技术、部署选项以及管理技术, 但是并没有停留在这一步。我们会进而解释每一个可选方案的优点,以及应用这种方案的场合。 我们不仅要让你理解有哪些方法可以完成任务,还要让你理解应该如何完成任务。 最后,本书构建并讲解的主要示例应用程序是一个真实复杂的应用程序,涵盖了很多Java EE 技术的许多特征,以及Oracle WebLogic Server 11g 特有的技术。这个示例应用程序覆盖了JSP、 Spring MVC、EJB 3.0、JPA、JMS 和Web 服务等关键技术,展示了这些技术的应用。正文部分带 你经历这个应用程序设的计、开发和部署过程中每一个决策做出的过程,帮助你在自己的开发工 作中做出类似的决策。 读者对象 本书并不是Java EE 技术和WebLogic Server 环境的入门读物。这是一本高水平的书,对基本 概念的描述很少,因此本书面向的读者是有经验的开发人员和WebLogic Server 管理员,通过阅读 本书他们可以将自己对这些技术的认识提升到更高水平。 主要内容 本书关注于如何通过最新发布的Oracle WebLogic Server 11g 进行Java EE 开发、部署和管理。 书中描述的很多技术、框架、部署技术和管理工具都要求使用这个版本的WebLogic Server 和最新 版本的Java EE 环境以及相关的各种库和框架。本书中构建的主要示例应用程序bigrez.com 要求 使用WebLogic Server 11g。 尽管如此,我们并不赞同“最新的就是最好的”这类技术观点。只要是合理的,我们就会在 示例中选用经过检验且版本可靠的Java EE 框架和库,前提是这些框架和库能够满足我们的需求 并且完成任务。 Oracle WebLogic Server 开发权威指南 VI 下面列出了本书中描述过、比较过并且使用过(或没有使用过)的部分技术和框架: ● EJB 3.0、JPA、OpenJPA、Kodo、TopLink ● Java 6、Spring 2.5 MVC、Jakarta Struts 1.2、JSP 2.0、Tiles 2.0 ● JMS 1.1、SOAP 1.1、JAX-WS 2.1 ● JAAS、SAML 1.1 和2.0、XACML、SSL、TLS 1.0、JSSE ● JMX、SNMP、WLST、WLDF
oracle weblogic开启,菜鸟经验:oracleweblogic自动启动与停止
weixin_35448391的博客
04-03 601
oracleweblogic自动启动与停止最近做开发时,发觉每次重新启动服务器时oracle数据库若没有关闭,则必须先关闭后在重新启动redhat advance server,oracle才能够正常运行。感觉这样麻烦,想到能否使数据库与web服务器与操作系统一同关闭与启动。在网上查找了一下相关资料,只找到一篇“Oracle Database HOWTO 自动启动及停止.htm”但是没有找到有关...
oracleweblogic,通过命令行安装Oracle weblogic
weixin_30286727的博客
04-03 439
在开发过程中,有一种情况是比较尴尬的:需要用到某个软件,但是只需要用到这个软件中的一小部分功能,这样既浪费的磁盘空间,又浪费了CPU空间。比如Weblogic,完整版包括很多功能,但是开发过程中,只是需要创建数据源、部署项目,然后进行测试即可。所以开发过程中,需要一款简化的Weblogic(Weblogic开发版)是挺有必要的(如果电脑配置比较壕,也可以任性的使用完整版)。1 选择合适版本的Web...
weblogic调起oracle权限,weblogicoracle调优(重要!!!!)
weixin_36212198的博客
04-16 409
weblogic部署系统,应用运行一段时间经常自动宕机,解决方式:增加weblogic线程、增加oracle数据库线程、weblogic添加数据库时,如果weblogic版本为10.3.6,驱动选择要选第三个,以下是具体操作:一、增大线程数Weblogic服务器可以通过配置config.xml文件来达到效果的。2.1查看Weblogic并发首先登录domain的console,然后点击环境>...
oracleweblogic,集成WebLogic 和Oracle RAC
weixin_29079743的博客
04-05 419
集成WebLogicOracle RAC(中)4.WebLogic集群和OracleRAC的集成方案我们结合事务处理以及集群要求需求给出下面的应用场景及其配置方案供选择:应用需求以及场景配置方案负载均衡失败转移全局事务(XA)WebLogic JMS StoreYYYNMultiPool+XA配置方案YYNNMultiPool无XA配置方案NYNYJDBC Connect-time Failo...
什么是weblogic
最新发布
Hello World
05-11 331
1. **Java EE 支持**:WebLogic 提供了对 Java EE 规范的全面支持,包括 EJB (Enterprise JavaBeans)、JMS (Java Message Service)、JPA (Java Persistence API) 等。8. **集成开发环境**:WebLogicOracle 的其他产品,如 Oracle Developer Suite 和 Oracle JDeveloper 等集成开发环境紧密集成。
oracle weblogic开启流程
qq_38038920的博客
08-24 1367
1.  创建域 2. 点击下图中 startWebLogic.cmd    然后出现 started in RUNNING mode> 说明开启成功 3.  在浏览器中打开:http://localhost:7001/console/login/LoginForm.jsp出现下图 4. 输入用户名和口令,点击登录出现下图则登录成功。  ...
怎么配置oracle的bin,使用weblogic配置oracle的方法
weixin_39966053的博客
04-02 128
Driver Classes : weblogic.jdbc.oci.DriverProperties (key=value): user=xixi password=haha server=your_tnsname需要安装oracle的客户端your_tnsname是你在Oracle客户端中配置的指向oracle服务器的本地服务名startWeblogic.cmd中 Path变量加入。\bin\...
WebLogic密码重置教程
"本文档详细介绍了三种不同版本的WebLogic Server——BEA WebLogic 8.1 SP2、WebLogic 9.0以及Oracle WebLogic Server 10.3的密码破解过程。" WebLogicOracle公司的一款企业级Java应用服务器,它用于部署和管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值