Weblogic 12.2.1.2.0 javax.interceptors问题 - 腾讯云开发者社区

文章/答案/技术大牛

发布

渗透测试|分享一款weblogic漏洞利用工具

xhr.send(); 前言最近越来越懒了，不知道应该写什么文章[aru_15]，就在这里水一篇文章吧~~分享一下工具~[aru_15] 工具介绍 V2.0 增加批量检测漏洞功能去除登陆密码框 V1.0 weblogic...administrator 控制台路径泄漏漏洞弱口令 WebLogic, weblogic, Oracle@123, password, system, Administrator, admin CVE...-2014-4210 Weblogic SSRF漏洞: 影响版本 : 10.0.2，10.3.6 http://127.0.0.1:7001/uddiexplorer/SearchPublicRegistries.jsp...CVE-2017-3506&CVE-2017-10271 XMLDecoder 反序列化漏洞: 影响版本 : 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0

3.8K4 0

中间件常见漏洞总结

path=/etc/passwd 影响范围： Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3 漏洞复现...使用这两个漏洞组成的利用链，可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令影响范围 WebLogic 10.3.6.0.0 WebLogic 12.1.3.0.0 WebLogic...影响范围： 12.2.1.2.0 12.2.1.1.0 12.2.1.3.0 12.2.1.0.0 12.2.1.4.0 14.1.1.0.0 12.1.2.0.0 12.1.3.0.0 10.3.6.0...pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.2.0-jdk-release docker pull vulfocus/vcpe-1.0-a-oracle-weblogic...weblogic/weblogic123 weblogic/weblogic2 system/password weblogic/weblogic admin/security joe/password

7211 0

您找到你想要的搜索结果了吗？

是的

没有找到

WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)漏洞复现&修复方案

0x00 漏洞简介此次漏洞是针对Oracle WebLogic Server组件的WLS Security子组件使用精心构造的xml数据可能造成任意代码执行影响版本: 10.3.6.0.0, 12.1.3.0.0..., 12.2.1.1.0, 12.2.1.2.0 0x01 复现过程向 /wls-wsat/CoordinatorPortTypPOST提交如下XML并将 Content-Type修改为 test/xml...AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.txtweblogic_CVE...if __name__ == '__main__': if len(sys.argv)<3: print ''' please use python weblogic.py...sys.argv[2] exp(url,file) 参考链接： https://github.com/kylingit/blog-hugo/blob/master/content/blog/Weblogic

1.7K10 0

Weblogic WLS组件远程代码执行漏洞（CVE-2017-10271）

0x01 漏洞描述 - Weblogic WLS组件远程代码执行漏洞（CVE-2017-10271） - Weblogic Server是Oracle公司的一款适用于云环境和传统环境的应用服务器，它提供了一个现代轻型开发平台...Oracle Weblogic Server的WLS Security组件对外提供WebService服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化远程命令执行漏洞...影响版本： Oracle Weblogic Server 10.3.6.0.0 Oracle Weblogic Server 12.1.3.0.0 Oracle Weblogic Server 12.2.1.1.0...Oracle Weblogic Server 12.2.1.2.0 0x02 漏洞等级图片 0x03 漏洞验证访问目标网站，如果出现以下页面地址说明可能存在漏洞： /wls-wsat/CoordinatorPortType

1.8K2 0

【漏洞复现】Weblogic漏洞搭建与复现：CVE-2017-10271

Part.1 漏洞说明漏洞说明 1、漏洞描述 WebLogic WLS组件中存在CVE-2017-10271远程代码执行漏洞，可以构造请求对运行WebLogic中间件的主机进行攻击，近期发现此漏洞的利用方式为传播挖矿程序...2、涉及版本 10.3.6.0.0 12.1.3.0.0 12.2.1.1.0 12.2.1.2.0 ?...方法二：手工搭建（不推荐）不推荐的原因是，相比vulhub，手工搭建可能遇到各种意想不到的问题... ? 1、账号创建由于weblogic不能使用root账号进行安装，我们先创建一个账号： ?...版本正确，JDK安装成功~ 3、安装weblogic12.1.3.0 Weblogic安装包，公众号回复10271即可获取。创建响应文件wls.rsp： ?.../oraInventory inst_group=weblogic 开始安装： java-jar fmw_12.1.3.0.0_wls.jar -silent -responseFile /home/weblogic

6.9K1 0

pwnhub_找朋友

~/weblogic/oraInst.loc 这里发现除了web意外，还有weblogic，但是我们访问的blog.pwnme.site是过cdn的，那么问题又回到了最关键的部分，怎么得到服务器的真实ip...是文件描述符id） - /proc/[pid]/exe 指向该进程的可执行文件更多详情可以参考linux文档链接：proc(5) - Linux manual page 还提到了关于标准输入输出的问题.../weblogic/security/wls/1.0/wls.xsd http://xmlns.oracle.com/weblogic/domain http://xmlns.oracle.com/weblogic...>12.2.1.2.0 base_domain ...rcUpHoOEV8A6SSJspFM503PXtD1cOtBt4e3yewh94oA+ptKSL5XTLbIh1lXZygTP 12.2.1.2.0

5482 0

【集群】WebLogic线程阻塞的问题(图) 顶

问题综诉：在做压力测试时，不间断发送1万请求，在5700时，weblogic陷入假死，不能够处理任何请求，使用jconsole，查看到weblogic阻塞情况非常严重。...请问，谁了解Weblogic这块的解决方案。...环境： Weblogic 10.3 Jrockit 1.6 Weblogic 没有经过优化，默认设置大小堆内存大小，min->256M max->512M ? ?

1.7K3 0

vulhub-weblogic漏洞复现

root@kali:~/vulhub/weblogic/CVE-2017-10271# docker-compose up -d Pulling weblogic (vulhub/weblogic:10.3.6.0...影响范围： 10.3.6.0.0，12.1.3.0.0，12.2.1.1.0，12.2.1.2.0 触发漏洞url： /wls-wsat/CoordinatorPortType11 /wls-wsat/...影响范围： Oracle WebLogic Server 10.3.6.0 Oracle WebLogic Server 12.1.3.0 Oracle WebLogic Server 12.2.1.2...影响范围： Oracle WebLogic Server 10.3.6.0 Oracle WebLogic Server 12.1.3.0 Oracle WebLogic Server 12.2.1.2...首先，通过ssrf探测内网中的redis服务器（docker环境的网段一般是172.*）然后就发现dockerfile可能出了啥问题，咕咕咕了~ weak_password 搭建环境 root@kali

1.4K1 0

Weblogic漏洞利用总结

weblogic简介 Weblogic是美国Oracle公司出品的一个应用服务器(application server)，确切的说是一个基于Java EE架构的中间件，是用于开发、集成、部署和管理大型分布式...在扩展性上，Weblogic Server凭借其出色的群集技术，拥有处理关键Web应用系统问题所需的性能、可扩展性和高可用性。漏洞汇总 ?...漏洞影响版本 10.3.6.0.0，12.1.3.0.0，12.2.1.1.0，12.2.1.2.0。...漏洞影响版本 Oracle Weblogic Server 10.3.6.0.0 Oracle Weblogic Server 12.1.3.0.0 Oracle Weblogic Server 12.2.1.3.0...最后还有一个weblogic一键漏洞扫描检测工具，提供一键poc检测，收录几乎全部weblogic历史漏洞。

5.2K2 0

Apache CXF 在 WebLogic 9.2 上的问题定位分析及权宜之计

经过对比，WebLogic 9.2 里的两个 .jar 文件里带个类是一样的，况且，正常启动时 WebLogic 也只是将 weblogic.jar 加到 CLASSPATH 中。...问题猜测应当是由于这两类的版本不一样导致的，拆出来 jad 一下，WebLogic 中的 javax.jws.WebService.java 代码为： package javax.jws; import...JaxWsServerFactoryBean.java:147) 面对这个 java.lang.LinkageError: Class javax/xml/namespace/QName 错误，自然又联想到了版本不一致的问题...启动时有关的仍是 weblogic.jar ，怪异的是 WebLogic 中居然有三个版本的 javax/xml/namespace/QName 这个类，真是比较糟糕的事情。...由于设置 prefer-web-inf-classes 设置为 true 后，提前加载了应用程序中 lib 目录下的 .jar 文件，而发生了这个问题，于是就尝试去掉 prefer-web-inf-classes

1.2K2 0

渗透测试|Weblogic漏洞复现与修复

介绍 WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式...WebLogic是美商oracle的主要产品之一，系并购BEA得来。...而此产品也延伸出WebLogic Portal，WebLogic Integration等企业用的中间件（但当下Oracle主要以Fusion Middleware融合中间件来取代这些WebLogic...CVE编号：CVE-2017-10271 受影响WebLogic版本：10.3.6.0.0，12.1.3.0.0，12.2.1.1.0，12.2.1.2.0 反弹shell 1.在kali上监听任意未占用端口...测试版本：WebLogic Server 版本: 10.3.6.0 CVE编号：CVE-2018-2628 影响版本： Oracle WebLogic Server10.3.6.0 Oracle WebLogic

1.3K3 0

信息安全通报第49期

根据2017年出现的各类网络安全问题，安恒信息已着手撰写《2017年网络安全年报》供各位读者参阅，敬请期待！...2017年10月18日，Oracle官方发布了包括WebLogic Server WLS 组件远程命令执行漏洞的关于Weblogic Server的多个漏洞补丁，却未公开漏洞细节。...Server10.3.6.0.0 OracleWebLogic Server12.1.3.0.0 OracleWebLogic Server12.2.1.1.0 OracleWebLogic Server12.2.1.2.0...报告显示，当前网络安全监管权责不清、各自为战、执法推诿、效率低下等问题尚未完全解决，法律赋予网信部门的统筹协调职能履行不够顺畅……结合报告这一内容，部分常委会委员提出了建议。...英国政府通讯总部向委员会方面解释道，这项任务变得越发复杂，同时技能短缺问题更加明显。” 2.西班牙人正在研究如何通过电磁波破解手机密码。

1K9 0

基于Struts2的war包在WebLogic上部署找不到Action问题及解决办法

问题描述 Struts2的工程，使用了Convention Plugin，在eclipse里测试的时候可以运行，但是部署到WebLogi中时报错找不到Action。.../> 然后重新打包部署应用再次测试，问题解决。

8183 0

tomcat程序部署到weblogic遇到的问题:对于字符串空的处理不一样

最近将本地tomcat项目部署到weblogic服务器，某个模块下数据加载不出来，很奇怪，在本地tomcat下此模块下数据都可以完整显示出来，怎么到服务器就不行了呢？...这段代码我不想吐槽了(至于有什么问题很明显了......)...，我们来看下这种情况：就是当所属公司为空的时候，在tomcat下会识别这个if判断的，但weblogic这个判断不兼容，即空字符串也会执行标记的这段代码，所以不报错才怪。 ?...修改后于是帮人家改了一下再发布到weblogic服务器上数据加载出来了由此得出一个结论：tomcat 和 weblogic下，对于字符串空的处理不一样，所以不同环境下要考虑程序的兼容性。

4782 0

weblogic 11g StuckThreadMaxTime 问题解决以及线程池、数据库连接池参数调优

问题背景 Java程序中使用原生POI 进行excel导出，数据量可能比较大。...：此问题是由于处理请求超时引起的，系统配置的处理时间是600s，但是该线程处理了626后，仍然没将请求释放，所以报了这个错误。...问题解决： 1）修改StuckThreadMaxTime参数，将默认的600s改成1200s，或者其它适合的值。 ? 2）增大线程数，防止线程阻塞问题。 3）优化程序，减少处理时间。...反应时间超出默认值，从而引起资源排队请求的问题，引起服务器不稳定运行。...那么出现了这种问题，怎么解决呢？

2K2 0

红队和蓝队都关心的东西在这儿了

造成此问题的原因是，在编写文件时缺少对用户提供的数据的正确验证。攻击者可以利用此漏洞在SYSTEM上下文中执行代码。...b 修复建议微软给这个漏洞分配了CVE-2018-8581并且在11月发布分版本中修补了这个问题。实际上没有修补程序可以纠正此问题。而是，Microsoft指出应该删除注册表项。...b 影响版本 10.3.6.0.0 12.1.3.0.0 12.2.1.1.0 12.2.1.2.0 c 修复建议前往Oracle官网下载10月份所提供的安全补丁 http://www.oracle.com...、报告、队列，通过网站入口或者邮件等形式接收来自外部的问题及反馈。...该系统主要用于对工作中各类问题、缺陷进行跟踪管理。

2.3K2 0

『学习笔记』WebLogic 的自动化部署脚本指南

WebLogic 是一款广泛应用于企业级应用的中间件，支持 J2EE 应用程序的高效部署与管理。然而，在复杂的环境中，手动部署可能会引发诸多问题，例如配置不一致、效率低下等。...部署应用到 WebLogic 时，以下问题常见：部署流程复杂：需要手动上传文件、设置数据源、配置环境等。多环境支持：测试、预生产和生产环境的配置往往存在差异。...为了应对上述问题，自动化部署脚本应运而生。...WebLogic 自动化部署时，可能会遇到各种问题。...网络问题或防火墙阻止连接。

8542 0

『学习笔记』WebLogic 中的多域配置与管理

WebLogic 环境中，尤其是使用 WLST（WebLogic Scripting Tool）进行自动化部署或管理时，常常会遇到无法连接到目标 WebLogic 域的问题。.../weblogic.password……防火墙和网络问题…… 确保没有防火墙或网络安全设备阻止 WLST 客户端与 WebLogic 管理服务器的通信。...……查看 WebLogic 日志…… WebLogic 服务器的日志文件（通常位于 DOMAIN_HOME/servers/AdminServer/logs 中）可以帮助诊断连接问题。...资源竞争在 WebLogic 中，多个域可能共享某些资源（如数据源、JMS 队列、连接池等）。当多个域之间共享同一资源时，可能会遇到资源竞争的问题。...设置适当的告警阈值，确保资源竞争问题能够被及时发现并处理。在 WebLogic 中配置和管理多个域不仅有助于资源的隔离，还能够在不同环境间实现灵活的资源配置与调度。

9812 0

CVE-2020-2551复现过程

环境 kali+weblogic10.3.6+jdk6u25 保证部署weblogic的机器内存至少1.5G，因为脚本中参数指定的-x1024m。...建议所有操作都在一台机器上复现，避免网络问题导致的复现失败！...weblogic报这两个错，大概率是成功了： ? 目录介绍略。已知问题重启后，会导致环境变量丢失，因此导致weblogic无法启动，java找不到，自行解决！...其他问题，在issue提问，或到blog1或blog2评论区提问。注意事项请严格按照文档中给出的版本进行测试，没有清理脚本，严重建议使用前打好系统快照！...所有操作尽量都在一台机器上操作，并且保证使用的jdk都是一个，避免出现网络问题、java版本不支持问题。

1.9K2 0

Weblogic的了解、安装及其使用

Weblogic理解 1.Weblogic介绍 1.1 简介 WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic...切换用户：su weblogic 2.4.2 安装WebLogic 注：安装weblogic前一定要先安装jdk(1.7以上)，我们可以先看见我们安装的jdk版本：一定注意weblogic...> 如还有其他问题导致无法访问地址，可对应的startWebLogic.cmd 启动日志进行对应的解决或者百度查看相关报错；如下图所示：（案例）大家根据相关的问题情况，如查找对应的处理方式...常见问题处理 3.2.tomcat式本部署将部署包程序.war 丢到autodeploy目录下面，启动startWeblogic.cmd ，进行访问，依然可以看到 4.0 Weblogic集群部署...4.1 前置条件创建节点和集群此处以测试为主：举例说明 1.选择环境，服务器选择新建；点击下一步 2.修改文件名及其监听端口；（如果是服务器端口需要新增白名单或者开启防火墙设置，相关问题，视情况而定

3K1 0

点击加载更多

渗透测试|分享一款weblogic漏洞利用工具

中间件常见漏洞总结

WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)漏洞复现&修复方案

Weblogic WLS组件远程代码执行漏洞（CVE-2017-10271）

【漏洞复现】Weblogic漏洞搭建与复现：CVE-2017-10271

pwnhub_找朋友

【集群】WebLogic线程阻塞的问题(图) 顶

vulhub-weblogic漏洞复现

Weblogic漏洞利用总结

Apache CXF 在 WebLogic 9.2 上的问题定位分析及权宜之计

渗透测试|Weblogic漏洞复现与修复

信息安全通报第49期

基于Struts2的war包在WebLogic上部署找不到Action问题及解决办法

tomcat程序部署到weblogic遇到的问题:对于字符串空的处理不一样

weblogic 11g StuckThreadMaxTime 问题解决以及线程池、数据库连接池参数调优

红队和蓝队都关心的东西在这儿了

『学习笔记』WebLogic 的自动化部署脚本指南

『学习笔记』WebLogic 中的多域配置与管理

CVE-2020-2551复现过程

Weblogic的了解、安装及其使用

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐