理解中间件 一次web访问的顺序,web浏览器->web服务器(狭义)->web容器->应用服务器->数据库服务器 web服务器 广义:提供广义web服务的软件或主机 狭义:提供w3服务的软件或主机,即...例如Tomcat,WebLogic,WebSphere,Jboss IIS,Tomcat,WebLogic,WebSphere即是应用服务器,又拥有web服务器的功能。...后台上传shell 1 将我们的jsp马打包成war文件 命令:jar -cvf shell.war shell.jsp 2 将之前打包的war包上传部署 安全防护 1 修改/conf/tomcat-users.xml...后台上传部署war包获取webshell 测试工具:https://github.com/dc3l1ne/Weblogic-Weakpassword-Scnner 命令执行 1 反序列化命令执行 测试工具...:https://github.com/hanc00l/weblogic_unserialize_exploit 安全防护 1 加强密码管理,使用复杂的密码 2 删除远程部署文件 3 后台限制登录IP
选择 对应的weblogic版本 ? 指定weblogic的domain目录 ? 如果你已经创建了dynamic web project,还可以把指定的项目应用到该weblogic服务器 ?...六、测试 WebLogic 6.1、项目运行时的自动部署 在刚创建的myWeb里创建二个jsp文件:home.jsp和about.jsp ?...6.3、纯手动部署应用(war包) 开发时,我们可以借助eclipse自动实现weblogic部署,但是真正上线时,通常都是通过war包来手动部署的。...6.3.1、 通过eclipse导出war包 在项目myWeb上右击->export->war file,这样就得到了一个war文件:myWeb.war ,它本质上就是一个标准的压缩文件,可以用winrar...6.3.2、登录weblogic手动部署war包 登录http://localhost:7001/console 控制台(具体路径大家根据weblogic的安装情况,自行调整) 找到"部署"界面,如果是新安装的
注意:web中间件与web服务器是有重叠的,原因在于tomcat等web中间件也具备web服务器的功能。 重点分析 web服务器只是提供静态网页解析(如apache),或者提供跳转的这么一种服务。...进入部署页面后便可以上传war文件,但与tomcat不同的是它不是本地上传war文件,而是从远程地址下载,因此需要自己准备一个文件服务器,用于远程下载war到目标jboss服务器上。...JBoss漏洞防护 1.开启jmx-console密码认证 2.删除jmx-console.war与web-console.war WebLogic漏洞与防护 weblogic是一个基于JavaEE构架的中间件...:system 用户名密码均为:portaladmin 用户名密码均为:guest 成功登陆weblogic后台后,找到部署按钮,点击后选择安装,然后可以选择本地上传war包也可以利用远程url下载,部署完成后...,weblogic会给出文件地址。
前言 所属的类别 web服务器:IIS、Apache、nginx、tomcat、weblogic、websphere等。...jsp shell文件打包为war文件: 1 jar -cvf shell.war shell.jsp ?...进入部署页面后便可以上传war文件,但与tomcat不同的是它不是本地上传war文件,而是从远程地址下载,因此需要自己准备一个文件服务器,用于远程下载war到目标jboss服务器上。...具体方法是在部署页面找到”ADDURL”方法,输入URL地址,点击invoke。除了以上方法外,JMX-Console提供的BSH方法,同样也可以部署war包。...war包也可以利用远程url下载,部署完成后,weblogic会给出文件地址。
部署较为困难(比如和weblogic有较多的类冲突) 在实际的项目中,并没有哪一种方式是最好的,根据客户不同的需求制定不同的部署方案,比如有些客户比较看中管理功能,要求数据源和tomcat相关配置必须由管理员进行管理...shell脚本打包过程为 备份当前启动类的java代码。 将war包启动类的代码替换掉当前启动类的代码。 maven指定pom-war.xml文件进行打包。 打包结束后恢复启动类文件。...配置文件问题 spring boot提供spring.profiles.active指定配置文件,但生产环境有时候客户出于安全考虑不提供配置信息给开发人员,而是预先将配置文件上传到服务器指定路径,程序需要在运行时去引用该配置文件...=/Users/asan/workspace/config config目录存放properties配置文件 可以通过配合spring.profiles.active参数可以指定目录下配置文件,如: java...war包外部配置文件读取 以tomcat为例,需要在tomcat启动时指定-Dspring.config.location参数,可以设置服务器环境变量CATALINA_OPTS达到目的。
weblogic简介 Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发、集成、部署和管理大型分布式...Web应用、网络应用和数据库应用的Java应用服务器 Weblogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中,是商业市场上主要的Java...criteria=weblogic 这里使用 用户名:weblogic 密码:Oracle@123 登录 2.进入后台后点击左边的部署,找到可以上传文件的地址 ?...3.生成一个war包 war是一个可以直接运行的web模块,通常用于网站,打成包部署到容器中。war包放置到web目录下之后,可以自动解压,就相当于发布了。...简单来说,war包是JavaWeb程序打的包,war包里面包括写的代码编译成的class文件,依赖的包,配置文件,所有的网站页面,包括html,jsp等等。
war包运行 以war包方式运行,通过maven插件spring-boot-maven-plugin进行相关配置后,最终生成一个可运行在tomcat,weblogic等java web容器中的war包。...上); 部署较为困难(比如和weblogic有较多的类冲突)。...在实际的项目中,并没有哪一种方式是最好的,根据不同的需求制定不同的部署方案,比如看中管理功能,要求数据源和tomcat相关配置必须由管理员进行管理,那么选择war包方式;如果希望借助容器化进行大规模部署...这个fat jar会把Tomcat内置进来,所以部署时也不需要单独配置Tomcat。 所以我们这里只安装配置向代理服务器——Nginx。...注: Jar的相关依赖信息、包名称等等在pom文件中进行设置。 部署 将打包后的文件放置在部署服务器的指定目录下,并设置指定权限, 在该目录下编辑启动脚本start.sh: #!
0X01 Weblogic组件介绍 WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVAEE架构的中间件,是用于开发、集成、部署和管理大型分布式...Web应用、网络应用和数据库应用的Java应用服务器。...WebLogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。...xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,实现远程命令执行,攻击者可以进而获得整台服务器的权限。...(2)删除war文件及相关文件夹,并重启Weblogic服务。
仓库 4.编写pipeline job脚本实现jenkins流水线持续交付流程 5.jenkins集成ansible与GitLab实现WordPress的自动化部署 ##ssh链接jenkins后台服务器...1.环境准备 GitLab代码仓库托管服务器172.16.87.88(本地DNSgitlab.example.com) ansible+jenkins持续构建集成服务器172.16.87.89 weblogic...war&文件" shell: "rm -rf {{ war_file }}/123.txt" - name: copy a file copy: 'remote_src=no src=roles.../testbox/files/portal.war dest={{ war_file }}/portal.war mode=0644 force=yes' #- name: start weblogic...JAVA_HOME是jdk1.7可以手动指定sonar的运行jdk为1.8) 安装mysql,可以是远程连接(注:mysql版本需要是5.6+) 2.安装 指定jdk1.8(如果系统环境变量已经是1.8
_async_response.war组件及wls-wsat组件中,由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程代码执行。...大部分Weblogic Server版本默认包含此此通告的不安全文件,请相关用户引起关注,及时采取防护措施。...4.2.1 配置URL访问控制策略 部署于公网的用户,可通过访问控制策略禁止对/_async/*及/wls-wsat/*路径的访问。...4.2.2 删除不安全文件 删除wls9_async_response.war、wls-wsat.war文件及相关文件夹,并重启Weblogic服务。...绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。
特点 部署简单:与传统的桌面应用程序不同,Tomcat中的应用程序是一个WAR(WebArchive)文件。WAR是Sun提出的一种Web应用程序格式,与JAR类似,也是许多文件的一个压缩包。...这个包中的文件按一定目录结构来组织:只需将你的WAR放到Tomcat的Webapp目录下,Tomcat会自动检测到这个文件,并将其解压。...只需要写一个build.xml文件,然后运行Ant就可以完成xml文件中定义的工作,这个工具对于一个大的应用来说非常好,只需在xml中写很少的东西就可以将其编译并打包成WAR。...JBoss支持"热部署",部署BEAN时,只拷贝BEAN的JAR文件到部署路径下即可自动加载它;如果有改动,也会自动更新。...这些开放性标准与WebGain Studio配合时,可简化开发,并可发挥已有的技能,迅速部署应用系统。 更趋灵活:WebLogic Server的特点是与领先数据库、操作系统和Web服务器紧密集成。
Tomcat部署 我们都知道了Nginx在高并发场景和处理静态资源是非常高性能的,但是在实际项目中除了静态资源还有就是后台业务代码模块,一般后台业务都会被部署在Tomcat,weblogic或者是websphere...动:后台应用程序的业务处理 静:网站的静态资源(html,javaScript,css,images等文件) 分离:将两者进行分开部署访问,提供用户进行访问。...实现动静分离的方式很多,比如静态资源可以部署到CDN、Nginx等服务器上,动态资源可以部署到Tomcat,weblogic或者websphere上。...2.将war包部署到tomcat中,把之前部署的内容删除掉 进入到tomcat的webapps目录下,将之前的内容删除掉 将新的war包复制到webapps下 将tomcat启动 3.在Nginx所在服务器创建如下目录...,并将对应的静态资源放入指定的位置 其中index.html页面的内容如下: <!
0x01 漏洞描述 - Weblogic Console弱口令后台getShell - Weblogic Server是Oracle公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台...,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。...Weblogic Console控制台由于管理员配置疏忽没有更改默认密码,或者存在账号弱口令漏洞,攻击者可在获取到账号密码的前提下登录管理后台,通过控制台“部署”功能模块部署恶意war包,进而getShell...获取服务器管理权限。...准备上传webshell文件,以冰蝎的webshll为例,先将shell.jsp压缩成shell.zip压缩包,然后将shell.zip文件后缀更改为shell.war 上传刚制作好的shell.war
2、目录遍历 3、CRLF注入 4、目录穿越 (四)Tomcat 1、远程代码执行 2、war后门文件部署 (五)jBoss 1、反序列化漏洞 2、war后门文件部署 (六)WebLogic 1、反序列化漏洞...修改完成后,需要重启系统生效 3)CMD关闭NTFS 8.3文件格式的支持 4)将web文件夹的内容拷贝到另一个位置,如c:\www到d:\w,然后删除原文件夹,再重命名d:\w到c:\www。...(三)war后门文件部署 1、漏洞简介及成因 Tomcat 支持在后台部署war文件,可以直接将webshell部署到web目录下。 若后台管理页面存在弱口令,则可以通过爆破获取密码。...(五) war后门文件部署 1、 漏洞简介及成因 由于WebLogic后台存在弱口令,可直接登陆后台上传包含后门的war包。...选择部署,进一步点击右边的安装。 ? 点击上传文件 — 进入文件上传界面,选择要上传的 war 包。 ? 进入下一步,选择对应的 war 包进行部署,下一步下一步直至完成。 ? ? ?
、部署和管理大型分布式Web应用、网络应用和数据库应用的 Java 应用服务器。...方法二采用的是改后辍的方式,修复步骤如下: 1)将weblogic安装目录下的wlserver_10.3/server/lib/uddiexplorer.war做好备份 2)将weblogic安装目录下的...4.任意文件上传 4.1漏洞成因及简介 通过访问 config.do 配置页面,先更改 Work Home 工作目录,用有效的已部署的 Web 应用目录替换默认的存储 JKS Keystores 文件的目录...5.后台弱口令War包部署 5.1漏洞简介及成因 由于WebLogic后台存在弱口令,可直接登陆后台上传包含后门的war包。...图片 选择部署,进一步点击右边的安装 图片 点击上传文件--进入文件上传界面,选择要上传的war包; 图片 进入下一步,选择对应的war包进行部署,下一步下一步直至完成 图片 图片 图片 点击激活更改
Part.1 漏洞说明 漏洞说明 1、weblogic Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,...是用于开发、集成、部署和管理大型分布式Web应用、网络应用和 数据库应用的Java应用服务器。...(2)服务器存在任意文件包含、下载等漏洞时,即使后台不存在弱口令,也可以通过破解的方式获取口令。...之前也写过一期docker的使用方法: 【Linux】使用docker搭建Apache/Nginx服务器 可以看到vulhub中包含以下weblogic漏洞环境: ? 部署弱口令漏洞环境: ?...打开【部署】-【安装】页面: ? 点击上载文件: ? 先将webshell压缩成zip压缩包: ? 修改后缀名为war: ? //test即为部署后的目录名 选中war包并点击下一步上传: ?
与BEA WebLogic Commerce ServerTM配合使用, BEA WebLogic Server可为部署适应性个性化电子商务应用系统提供完善的解决方案。...域是WebLogic应用服务器中最大的概念,WebLogic应用服务器启动的时候就是以某个域来启动的,它有一个中心配置文件叫config.xml. 2.cluster Cluster: 族也是一个逻辑概念...4.server Server: 服务器,也就是一个应用服务器的实例,用来部署和运行各种J2EE应用程序,也可以来配置各种服务程序。它是WebLogic应用服务器的基本服务单元。...5.administrative server Administrative Server: 管理服务器是用来管理配置域的中心点,一般来说,管理服务器上是不部署应用程序的,而是用来统一管理、配置、监控被管理服务器以及部署应用程序到被管理服务器上...一个域中有一台管理服务器。 6.managed server Managed Server: 被管理服务器是用来部署运行各种应用程序的。一个域中有一台或多台被管理服务器。
,嘿嘿,比如你在weblogic上部署war文件,又调用这个方法...../aa.config”,这样得到文件的path然后进行读入, 应用在tomcat上跑是ok的,后来将war放到weblogic上,出错,原因是: 在weblogic上用getRealPath得到的是像...其实,也很 好理解,一个文件被打包入了.war文件,就不存在目录结构了(虽然包中仍然存在目录结构,但这不等同 于文件系统中的目录结构)。所以,对war包中的资源是无法得到RealPath的。...这样也就无从通过文件IO 进行读取了。 那么,如何读取war包中的资源呢?...如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
这里面可以使用常用的工具Rsync,通过开发相应的脚本工具实现服务器集群间代码同步分发 如何部署?搭建集群服务器tomcat,weblogic,jboss哪个性能最好?...这三个只有weblogic是商业的软件,所以你希望性能好的话,就用weblogic最好。 使用tomcat部署应用程序怎么做? 1,把java的web工程打成一个war包。...第一步:把待发布的多个项目.war文件放入tomcat的webapps文件下下 !...文件 在server.xml文件中新增节点,一个节点代表一个web应用 path属性:指定访问该Web应用的URL入口。...如“/HelloApp1/” docBase属性:指定Web应用的文件路径,可以给定绝对路径,可以给定相对路径。。
领取专属 10元无门槛券
手把手带您无忧上云