weblogic 反序列化漏洞 getshell

最新推荐文章于 2025-06-13 10:16:03 发布
最新推荐文章于 2025-06-13 10:16:03 发布
阅读量291 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: shell
原文链接:http://www.cnblogs.com/n00p/p/8962136.html
本文介绍了一种通过上传cmd.jsp文件实现特定功能的方法。该过程包括了如何进行文件上传及后续的效果展示。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上传cmd.jsp,效果:
1385717-20180427131710682-2101228019.png

上传马:

转载于:https://www.cnblogs.com/n00p/p/8962136.html

Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271复现)
薛定谔嘚喵博客
05-07 917
CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。漏洞触发url漏洞本质:主要是由于wls组件使用了webservice来请求soap请求,所以通过构造SOAP(XML)格式的请求,在解析的过程中导致XMLDecoder反序列化漏洞,可导致执行任意命令。
Weblogic GetShll&CMD;漏洞检测利用工具.rar
08-20
渗透测试中使用,可以用于检测weblogic漏洞并执行CMD命令,获取服务器权限,本程序仅供检测和学习用途,请勿用于其他任何非法用途!
【原创】Weblogic 反序列化远程命令执行漏洞GetShell&Cmd Exploit
weixin_33841722的博客
12-12 806
这工具写到半夜四点,做个记录。 已发布至freebuf,链接:http://www.freebuf.com/vuls/90802.html 转载于:https://www.cnblogs.com/rebeyond/p/5041017.html
WebLogic漏洞复现(附带修复方法)_weblogic漏洞修复
最新发布
Python84310366的博客
06-13 1224
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,默认端口:7001WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Weblogic WLS Core Components 反序列化命令执行漏洞GetShell(CVE-2018-2628)——漏洞复现
W小哥
12-01 862
一、漏洞描述 影响版本: Oracle WebLogic Server10.3.6.0 Oracle WebLogic Server12.2.1.2 Oracle WebLogic Server12.2.1.3 Oracle WebLogic Server12.1.3.0 二、漏洞原理 Oracle 2018年4月补丁中,修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞(CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执
Weblogic漏洞Getshell_总结——及
qq_45300786的博客
04-13 695
weblogic漏洞之前我也复现的差不多了。除了ssrf那篇没有复现出来,大部分都做出来了。 那么到最后还是总结一下。不过我看到以为大师写的非常不错。 这里直接上链接。大师写的非常详细。 https://www.cnblogs.com/-mo-/p/11503707.html ...
[原创]K8Cscan插件之Weblogic漏洞扫描&GetShell Exploit
K8哥哥
04-27 2365
[原创]K8 Cscan 大型内网渗透自定义扫描器 https://www.cnblogs.com/k8gege/p/10519321.html Cscan简介:何为自定义扫描器?其实也是插件化,但Cscan不需要编程同样可实现自定义功能,这比单纯插件化更容易实现插件功能Cscan旨在为用户提供一个高度灵活、简单易用、多线程、多网段的插件化扫描框架,减少大量重复性工作提高工作效率3.3及以上版本分...
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出...
Java反序列化漏洞利用工具(WebLogic&Jboss)
01-01
2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛...
java反序列化漏洞利用工具Jboss&WebLogic;.rar
07-23
jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出...
WebLogic反序列化漏洞&SSRF漏洞
Massimo__JAVA的博客
05-19 354
1)、特征在被检测应用系统url后随机添加字符串,出现的404页面如下:说明被检测系统的中间件为WebLogic2)、利用启动环境访问AsyncResponseService说明存在漏洞kali开启监听抓取访问AsyncResponseService 的数据包,发送到重发模块,并替换如下出现202说明发送成功成功反弹shell
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Weblogic Unserialization GetShll&CMD;
03-27
安全渗透中使用,对weblogic中序列化漏洞的测试,可以对weblogic中执行cmd命令,直接获取服务器信息,此工具可以测试漏洞
Weblogic反序列化远程代码执行漏洞(CVE-2018-2628) 补丁包
08-17
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞,这个是weblogic12.1.3.0 版本的补丁包,有需要的可以下载
WebLogic_CVE-2017-3248&&GetShell-CMD验证工具.rar
02-11
Weblogic任意命令执行的检测工具。 WebLogic_CVE-2017-3248文件夹的执行命令: java -jar weblogic_cmd.jar -C whoami -H 10.1.1.104 -P 8083 Weblogic Unserialization GetShll&CMD文件夹的执行命令: java -jar Weblogic-Unserialization-GetShll-CMD.jar 或者双击starter.bat.
BEA WebLogic Server 故障诊断资料
爱莎可实验室
08-06 2152
队列长度一直很高,吞吐量不大,访问很慢是怎么回事?在控制台中察看 Queue Length: The number of waiting requests in the queue 居高不下,而Throughput:却一直很低系统反应非常迟钝:http://dev2dev.bea.com.cn/bbs/thread.jspa?forumID=81&threadID=7770&start=0
Weblogic wls9_async_response 反序列化远程命令执行漏洞(CNVD-C-2019-48814)
热门推荐
SoulCat
04-26 1万+
Weblogic wls9_async_response 反序列化远程命令执行漏洞(CNVD-C-2019-48814) 漏洞概述: 该漏洞存在于wls9-async组件,这个组件主要作用是异步通讯服务,攻击者可以向/_async/AsyncResponseService路径下传入构造好的恶意xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,从而可以getshell’。 漏...
WebLogic 反序列化远程代码执行漏洞(CVE-2018-2628)漏洞复现
lc0813的博客
04-13 1607
漏洞概述: 在 WebLogic 里,攻击者利用其他rmi绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行该漏洞,该漏洞主要由于T3服务触发,所有开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议数据,就可以获取目标服务器的权限。 名词概念: 序列化:序列化 (Serialization)是将对象的状态...
Weblogic反序列化漏洞测试工具发布
最后,对于Weblogic Unserialization GetShll&CMD.jar这类工具名称中包含的“GetShell&CMD”部分,它明确指出了该工具的主要功能——获取Shell(即远程命令行界面)和执行CMD(命令行指令),这是在渗透测试或攻击中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值