WebLogic系列漏洞

于 2024-09-22 23:33:13 发布
阅读量548 收藏 9
点赞数 5
CC 4.0 BY-SA版权
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/A2893992091/article/details/142445483

后台弱⼝令GetShell

漏洞描述

通过弱⼝令进⼊后台界⾯ , 上传部署war包 , getshell

影响范围

全版本(前提后台存在弱⼝令)

环境搭建

cd vulhub/weblogic/weak_password
docker-compose up -d

漏洞复现

默认账号密码:weblogic/Oracle@123
(单个账号错误密码5次之后就会⾃动锁定)
123.57.211.129 :7001/console/login/LoginForm.jsp
1.登录后台后,点击部署,点击安装,点击上传⽂件。
<
最低0.47元/天 解锁文章

200万优质内容无限畅学
CVE-2023-21839:Weblogic反序列化漏洞复现
薛定谔嘚喵博客
04-16 5204
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
我眼中的Weblogic系列漏洞之——Weblogic安装
ovowovo的博客
12-03 265
Weblogic安装 一、环境需求 1、Windows server 2008 R2虚拟机一台(推荐64位) 2、JDK 7(推荐64位)(该漏洞环境只兼容1.7版本的) 3、WebLogic安装包 二、安装JAVA JAVA环境变量设置: JAVA_HOME:C:\Program Files\Java\jdk1.7.0_80 PATH:C:\Program Fi...
WebLogic漏洞复现(附带修复方法)
C233333235的博客
08-07 2552
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,默认端口:7001WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
漏洞复现】Weblogic CVE-2023-21839
zg_111的博客
03-23 7509
Weblogic CVE-2023-21839漏洞复现
第48篇:Weblogic最新漏洞修复方法(禁用T3+IIOP协议)
热门推荐
ABC_123的博客
01-27 12万+
Part1 前言大家好,我是ABC_123。春节前weblogic爆出了一个新的漏洞CVE-2023-21839,据说有攻击队曾用这个在野0day打穿了某银行目标。通过官方的漏洞描述来看,应该还是借助jndi来实现反序列化漏洞利用,所以此漏洞成功条件是目标一定要出网,而且T3或IIOP协议开放。与T3协议或IIOP协议相关的weblogic的0day漏洞近几年还会不断地公布出来,要想彻底解决这...
复现CVE-2024-2109 (Weblogic Server远程代码执行漏洞)
2401_84097678的博客
04-16 604
基础知识是前端一面必问的,如果你在基础知识这一块翻车了,就算你框架玩的再6,webpack、git、node学习的再好也无济于事,因为对方就不会再给你展示的机会,千万不要因为基础错过了自己心怡的公司。前端的基础知识杂且多,并不是理解就ok了,有些是真的要去记。当然了我们是牛x的前端工程师,每天像背英语单词一样去背知识点就没必要了,只要平时工作中多注意总结,面试前端刷下题目就可以了。什么?你问面试题资料在哪里,这不是就在你眼前吗(滑稽。
WebLogic漏洞系列】CVE-2018-2628 WebLogic反序列化分析
最新发布
blackmagic的博客
08-12 1148
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。CVE-2018-2628是未授权的情况下远程执行(RCE)漏洞,该漏洞WebLogic Server的WLS核心组件中存在一个未授权的RMI远程攻击接口,具体存在于T3协议的反序列化处理中。这里,EXP发送了多个经过Hex编码的T3协议数据包,模拟了一个正常的请求。
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
通常,累积补丁包含了多个单独的安全补丁,旨在解决一系列相关或不相关的漏洞,以简化用户的更新流程。在这个案例中,FMJJ补丁可能包含了针对CVE-2017-10271以及其他潜在安全问题的修复代码。 提供的压缩包文件中,...
weblogic漏洞系列- 弱口令
god_Zeo的安全博客
09-05 2598
【研究】weblogic漏洞系列- 弱口令和解密1.环境2.原理3.影响版本4.利用过程任意文件读取漏洞的利用webshell 1.环境 Weblogic版本:10.3.6(11g) Java版本:1.6 本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。 环境启动后,weblogic后台访问htt...
Weblogic常见漏洞详解
m0_64481831的博客
03-01 4971
Weblogic 是一个基于JavaEE架构的中间件,是用于开发、集成、部署和管理大型分布式为Web应用、网络应用和数据库应用的Java应用服务器。Weblogic由纯Java开发,被广泛应用于开发、部署和运行Java应用等适用于本地环境和云环境的企业应用。所以,Weblogic在面试当中被提到频率还蛮高的。这篇文章以vulhub靶场为辅。Weblogic中间件常见漏洞文章讲了任意文件读取和弱口令登录、未授权访问后台和HTTP请求远程代码执行、SSRF利用、XMLDecoder反序列化漏洞
WebLogic
lhdbk______的博客
08-06 1468
weblogic常见中间件漏洞
weblogic中间件漏洞汇总
混子
11-24 9484
目录一、weblogic是什么?二、安装环境1、下载weblogic2、安装(其实就是点点点啦)三、反序列化漏洞1、XMLDecoder(CVE-2017-102712、XMLDecoder (CVE-2017-35063、wls-wsat远程代码执行(CVE-2019-27254、T3协议命令执行(CVE-2018-26285、 IIOP(CVE-2020-2551四、SSRF1、SSRF(CVE-2014-42102. SSRF联动Redis3、防御五、未授权访问1、Console HTTP协议远程代码
Weblogic漏洞 CVE-2021-2109 处理
草原孤狼的专栏
09-21 2764
weblogic 2021—2109 漏洞处理
weblogic漏洞练习
weixin_30932215的博客
08-06 941
About WebLogic WebLogic是美商Oracle的主要产品之一,系购并得来。是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,目前已推出到12c(12.1.1)版。而此产品也延伸出WebLogic Portal, WebLogic Integration等企业用的中间件(但...
CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
AzVoidSUN的博客
11-04 1444
环境安装 首先电脑已安装好的jdk \bin目录下 然后java -jar 执行你的jar包就可以了 Oracle WebLogic Server版本:10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。均存在此漏洞。 构造poc ,未授权访问后台地址http://127.0.0.1:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsCo
Weblogic漏洞之弱口令、任意文件读取、上传shell
a1b2c3是弱口令
12-09 7122
弱口令 环境启动后,访问http://192.168.1.15:7001/console/login/LoginForm.jsp,即为weblogic后台。 本环境存在弱口令可以直接登录: weblogic Oracle@123 weblogic常用弱口令: 1. Oracle - WebLogic Method HTTP User ID system Password password ...
weblogic-SSRF
anna11119的博客
07-26 709
https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf Weblogic SSRF漏洞 Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 测试环境搭建 编译及启动测试环境 docker-compose build docker-comp...
weblogic 未授权命令执行漏洞(CVE-2020-14882)复现
玄道的网安博客
10-29 1万+
简介 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 漏洞概述 未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。 影响版本 Oracle Weblogic Server 10.3.6.0.0 Orac...
weblogic漏洞
公众号shadow sock7
04-25 2239
参考: 最新weblogic漏洞复现 weblogic CVE-2019-2647等相关XXE漏洞分析 环境搭建: 在12.2.1.3版本上访问url发现404了, 使用vulhub之前的docker镜像,10.3.6.0版本: PoC: POST /_async/AsyncResponseService HTTP/1.1 Host: cqq.com:7001 Content-Length: 94...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值