[JAVA安全]weblogic反序列化介绍及环境搭建

已于 2023-01-30 17:29:33 修改
阅读量859 收藏
点赞数
分类专栏: JAVA安全 文章标签: 安全 java 服务器
于 2023-01-14 21:25:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/snowlyzz/article/details/128662538
版权
本文介绍了weblogic反序列化漏洞的基础知识,并详细阐述了如何搭建环境,包括下载所需软件版本,如jdk-7u21和weblogic 10.3.6.0,以及解决Dockerfile问题,进行远程调试的配置。通过这个过程,读者可以理解weblogic反序列化漏洞的背景并实践环境搭建。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

weblogic反序列化介绍

weblogic是一个常用的web中间件,它的反序列化漏洞也算是比较经典,而在weblogic里面其实反序列化漏洞大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞,以后再说吧,这篇先说一下环境搭建,主要也是搭了很久才好

环境搭建

环境搭建 参考:

WebLogic_T3反序列化漏洞(一) - 哔哩哔哩 (bilibili.com)

主要就几步 下载三个文件

jdk版本:

jdk-7u21(https://www.oracle.com/java/technologies/javase/javase7-archive-downloads.html) 

weblogic版本:

10.3.6.0(https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html)

环境 

 https://github.com/QAX-A-Team/WeblogicEnvironment       

 

最低0.47元/天 解锁文章
Java反序列化(之)Weblogic反序列化系列初探 CVE-2015-4852
Vicl1fe的博客
03-24 1584
前言 weblogic反序列化主要有XMLDecoder和T3协议。先从T3协议开始,主要是CVE-2015-4852这个漏洞 环境搭建 https://blog.youkuaiyun.com/qq_41918771/article/details/117467957 https://blog.youkuaiyun.com/weixin_45682070/article/details/123230456 主要参考这两篇文章,第一篇是我写的,但是由于源不能用了原因,可以参考第二篇 T3协议 T3概述 RMI通信使用的是序列化数
我眼里的Weblogic 反序列化
Vicl1fe的博客
06-02 340
前言 满怀期待的学习Weblogic反序列化 环境搭建 本来想着自己下载webloigc环境,搞了半天也没搞定,年少不知工具香。 还是选择了在docker里搭建,然后使用idea进行远程调试。 weblogic下载地址,我下载的是10.3.6.0的 https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html jdk7下载地址 http://www.oracle.com/java/technologies/jav
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 弹shell部分更完美,不再加载远程war包,直接发包完成弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
java连接weblogic_Java访问Weblogic中的连接池
weixin_39893893的博客
02-19 164
该楼层疑似违规已被系统折叠隐藏此楼查看此楼importjava.sql.Connection;importjava.sql.ResultSet;importjava.sql.Statement;importjava.util.Properties;importjavax.naming.Context;importjavax.naming.InitialContext;importj...
java object能用大小排序吗_Java 反序列化工具 gadgetinspector 初窥(下)
weixin_39603604的博客
11-29 135
作者:Longofo@知道创宇404实验室时间:2019年9月4日接上篇Java 反序列化工具 gadgetinspector 初窥 (上)样例分析现在根据作者的样例写个具体的demo实例来测试下上面这些步骤。demo如下:IFn.java: package com.demo.ifn; import java.io.IOException; public inter...
WebLogic_EXP.jar WebLogic反序列化利用工具
10-31
WebLogic_EXP.jar WebLogic反序列化利用工具下载,作者rebyond。 使用环境 JDK1.8
weblogic反序列化
Finlinlts的博客
08-30 3562
CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过弹shell拿到权限。
weblogic反序列化之T3协议
snowlyzz的博客
01-16 3457
T3反序列化学习
Weblogic T3 反序列化学习
qq_31065143的博客
08-03 724
Weblogic T3 反序列化学习 前言 最近在公司实习也没有太多事情,就来学习一下Weblogic听好多师傅讲过很多次了。 这里我使用的是ATEAM大哥开源的搭建工具,感谢前人提供的便捷。我这里本来打算在自己电脑上搭建,但是说多了都是泪,m1适配问题。。。。最后还是跑云服务器上进行了搭建搭建过程 下载文件 先从GitHub上面拉取项目,拉取之后创建两个文件夹jdks,weblogics。 jdk下载地址: https://www.oracle.com/technetwork/java/javas
Weblogic处理流量中的java反序列化数据的流程(CVE-2015-4852、CVE-2016-0638、CVE-2016-3510)
weixin_45682070的博客
03-08 2211
前言 想要搞明白weblogicT3协议中的反序列化和后续的反序列化绕过,就得先需要了解weblogic如何处理T3协议中的反序列化数据,了解流程之后再去分析CVE-2015-4852、CVE-2016-0638、CVE-2016-3510这些漏洞,会事半功倍。 weblogic处理反序列化的流程 首先我们看一张流程图,这是weblogic处理反序列化数据的时候的函数调用图 截图比较粗糙,其起始位置是我们熟悉的ObjectInputStream类中的readObject方法。下面是一层层调用的函数,在红色
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
java 获取WebLogic 系统详细信息
11-30
java 获取WebLogic 系统详细信息
weblogic反序列化全版本漏洞利用工具
06-27
weblogic反序列化全版本漏洞利用工具,可执行命令
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
Weblogic全版本反序列化漏洞利用工具.jar
07-03
Weblogic全版本反序列化漏洞利用工具.jar
CVE-2017-3248——WebLogic反序列化漏洞利用工具
weixin_30628801的博客
07-20 927
著名的web中间件WebLogic被曝出之前的反序列化安全漏洞补丁存在绕过安全风险,用户更新补丁后,仍然存在被绕过成功执行远程命令攻击的情况,安全风险高,Oracle官方及时发布了最新补丁,修复了该漏洞,阿里云安全团队建议用户尽快自查并升级。 具体详情如下: 漏洞编号: CVE-2017-3248 漏洞名称: WebLogic 反序列化漏洞 官方评级: 高危 漏洞描述: Or...
java weblogic,JAVA技巧感受Weblogic
weixin_33394460的博客
03-20 239
用tomcat发布程序突然出现错误,试了很多办法,还是不行,后来突然想起来了Weblogic,一直想试试,但是没有机会,看来这次机会来了!翻箱倒柜终于找到了Weblogic7 8 9三个版本,呵呵,这个可是以前有机会的时候藏起来的,哈哈,安装一切顺利,运行居然报错,怎么回事呢?问了问google发现7和8用的都是jdk1.4,考试@大提示用的是jdk1.5写的,也许这个是主要错误的问题吧,删吧,唉...
weblogic漏洞扫描工具 反序列化漏洞扫描工具
Innocence_0的博客
03-16 1409
weblogic漏洞扫描工具 反序列化漏洞扫描工具
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值