weblogic管理控制台未授权远程命令执行漏洞

最新推荐文章于 2025-04-09 12:41:52 发布
最新推荐文章于 2025-04-09 12:41:52 发布
阅读量4.3k 收藏 4
点赞数 2
分类专栏: 漏洞 文章标签: 网络 windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45911307/article/details/124132190
版权
本文详细介绍了WebLogic管理控制台存在的未授权远程命令执行漏洞CVE-2020-14882。通过一系列步骤,包括拉取环境、访问特定URL来绕过身份验证,并利用漏洞执行命令,例如`java.lang.Runtime.getRuntime().exec('touch /tmp/success1')`,展示了攻击者如何利用该漏洞进行非法操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Weblogic

默认端口号:7001

(1)weblogic管理控制台未授权远程命令执行漏洞

CVE-2020-14882

1,拉取环境

2,访问网站

3,启动完成后,访问http://your-ip:7001/console查看管理员控制台登录页面

</

最低0.47元/天 解锁文章
CVE-2024-21006-weblogic远程命令执行漏洞
zwy15288408160的博客
04-25 6771
Oracle WebLogic Server 存在远程命令执行漏洞(CVE-2024-21006),该漏洞源于T3/IIOP协议存在缺陷,未经身份验证的攻击者可通过T3/IIOP协议受影响的服务器发送恶意的请求,利用LDAP工具执行任意代码。
Weblogic-未授权命令执行漏洞(CVE-2020-14882&14883)
qq_43381463的博客
03-29 519
CVE-2020-14882允许未授权用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。
Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)
weixin_47311099的博客
12-07 540
Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883) CVE-2020-14882允许未授权用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。 参考链接:https://github.com/vulhub/vulhub/blob/master/weblogic/CVE-2020
中间件安全系列(四):WebLogic未授权漏洞与Tomcat管理后台攻防实战
最新发布
tengyuehou的博客
04-09 1143
CVE-2020-14882允许未授权用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。
漏洞复现(vulhub漏洞复现) (1)weblogic管理控制台未授权远程命令执行漏洞复现 (2) Weblogic SSRF漏洞漏洞复现
记录笔记
04-13 1274
weblogic管理控制台未授权远程命令执行漏洞复现 Weblogic SSRF漏洞漏洞复现 虚拟机同时运行了 redis、Weblogic 两个容器 http://192.168.15.136:7001/uddiexplorer/ http://192.168.15.136:7001/uddiexplorer/SearchPublicRegistries.jsp http://192.168.15.136:7001/uddiexplorer/SearchPublicReg
Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)漏洞复现
weixin_48413667的博客
09-22 8234
一、软件介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 二、漏洞描述 在2020年10月的更新中,Oracle官方修复了两个安全漏洞,分别是CVE-2020-14882和CVE-2020-14883
CVE-2020-14882、CVE-2020-14883 Weblogic 管理控制台未授权远程命令执行漏洞
weixin_45715461的博客
07-02 1513
CVE-2020-14882、CVE-2020-14883 Weblogic 管理控制台未授权远程命令执行漏洞
Weblogic(CVE-2020-14882,CVE-2020-14883) 管理控制台未授权远程命令执行漏洞
god_Zeo的安全博客
11-02 6365
Weblogic(CVE-2020-14882,CVE-2020-14883) 管理控制台未授权远程命令执行漏洞 0x01 漏洞简述 2020年10月29日,360CERT监测发现 Weblogic ConSole HTTP 协议代码执行漏洞,该漏洞编号为 CVE-2020-14882,CVE-2020-14883 ,漏洞等级:严重,漏洞评分:9.8。 远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console,并在 WebLogic Server Co
WebLogic WLS远程执行漏洞(CVE-2017-10271)验证
12-18
一段小代码,WebLogic WLS远程执行漏洞(CVE-2017-10271)验证。
Weblogic 远程命令执行漏洞(CVE-2023-21839)
Myu_wzy的博客
04-27 1071
Weblogic 远程命令执行漏洞(CVE-2023-21839)
vulhub漏洞Weblogic管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)
weixin_45808483的博客
12-20 2919
Weblogic是Oracle公司推出的J2EE应用服务器。在2020年10月的更新中,Oracle官方修复了两个长亭科技安全研究员@voidfyoo 提交的安全漏洞,分别是CVE-2020-14882和CVE-2020-14883。 CVE-2020-14882允许未授权用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。 漏洞环境
Weblogic CVE-2020-14882 未授权远程命令执行漏洞
读书 买花 长大
02-25 692
CVE-2020-14882
Weblogic管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)
xhscxj的博客
10-21 723
启动环境访问登录页面此时我们知道密码burp抓包修改访问后台后,可以发现我们现在是低权限的用户,无法安装应用,所以也无法直接执行任意代码此时需要利用到第二个漏洞CVE-2020-14883。这个漏洞的利用方式有两种,一是通过,二是通过。直接访问如下URL,即可利用这个利用方法只能在Weblogic 12.2.1以上版本利用,因为10.3.6并存在类。是一种更为通杀的方法,最早在CVE-2019-2725被提出,对于所有Weblogic版本均有效。
CVE-2020-14882 weblogic未授权远程命令执行漏洞
栉风沐雪的博客
02-22 5273
Oracle WebLogic Server 远程代码执行漏洞 (CVE-2020-14882)POC 被公开,未经身份验证)的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
全面探索Weblogic漏洞扫描工具的多维功能
漏洞允许远程攻击者通过发送经过特定构造的序列化数据给wls-wsat组件,从而在服务器上触发任意代码执行,导致未授权的服务器控制。这是典型的Java反序列化漏洞,当Weblogic服务器对可信的数据源进行反序列化时就...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值