WebLogic XMLDecoder反序列化漏洞复现 参考链接: https://bbs.ichunqiu.com/thread-31171-1-1.html git clone https://github.com/vulhub/vulhub.git cd vulhub/weblogic/ssrf/ docker-compose up -d 这时我们就可以访问docker中weblogic的地址,地址为ubuntu(IP):7001,访问 http://192.168.126.142:700…

目录 四. weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271) 0. 漏洞分析 1. 利用过程 2. 修复建议 一.weblogic安装 http://www.cnblogs.com/0x4D75/p/8916428.html 二.weblogic弱口令 http://www.cnblogs.com/0x4D75/p/8918761.html 三.weblogic 后台提权 http://www.cnblogs.com/0x4D75/p/8919760.html…

WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)                                                -----by  backlion 0x01漏洞说明 近日,黑客利用WebLogic 反序列化漏洞CVE-2017-3248和WebLogic WLS LS组件的远程代码执行漏洞CVE-2017-10271,Oracle官方在2017年10月份发布了该漏洞的补丁,但没有公开漏洞细节,如果企业未及时安装补丁,存在被攻击的风…

影响范围: Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.1.3.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 实验用的是12.1.3.0.0版本的weblogic 安装weblogic,参考http://blog.csdn.net/m0_37027631/article/details/55258709?locationNum=10&fps=1 启动 访问http://local…

本文首发于“合天智汇”公众号 作者:Fortheone 前言 最近学习java反序列化学到了weblogic部分,weblogic之前的两个反序列化漏洞不涉及T3协议之类的,只是涉及到了XMLDecoder反序列化导致漏洞,但是网上大部分的文章都只讲到了触发XMLDecoder部分就结束了,并没有讲为什么XMLDecoder会触发反序列化导致命令执行.于是带着好奇的我就跟着调了一下XMLDecoder的反序列化过程. xml序列化 首先了解一下java中的XMLDecoder是什么.XMLDec…

weblogic WLS 反序列化漏洞学习 鸣谢 感谢POC和分析文档的作者-绿盟大佬=>liaoxinxi:感谢群内各位大佬及时传播了分析文档,我才有幸能看到. 漏洞简介 漏洞威胁:RCE--远程代码执行 漏洞组件:weblogic 影响版本:10.3.6.0.12.1.3.0.12.2.1.2.12.2.1.3 温馨提示:对于攻击者自己构造的新的payload,还没有被oracle加入黑名单,所以还是多加留心.持续监控的好. 漏洞复现 我保存了python漏扫脚本,重命名为weblogic2…

0x00 weblogic 受影响版本 Oracle WebLogic Server 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 0x01 环境准备 1.安装weblogic server版本. 2.生成wlfullclient.jar包 安装weblogic_server可以参考https://blog.csdn.net/qq_36868342/article/details/79967606. wlfullclient可以通过,在安装完weblogic服务以后,来到…

目录 Weblogic反序列化漏洞 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271) Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628) Weblogic反序列化漏洞(CVE-2019-2725) JBOSS反序列化漏洞 JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504) JBoss 5.x/6.x 反序列化漏洞复现(CVE-2…

Jboss.Websphere和weblogic的反序列化漏洞已经出来一段时间了,还是有很多服务器没有解决这个漏洞: 反序列化漏洞原理参考:JAVA反序列化漏洞完整过程分析与调试 这里参考了网上的 Java反序列化工具 - Java Deserialization Exp Tools ,来检测weblogic服务器反序列化漏洞: 该工具可以检测weblogic.jboss.websphere服务器,下载地址:http://pan.baidu.com/s/1miKplsW 如图上所示,输入webl…

Java安全之初探weblogic T3协议漏洞 文章首发自安全客:Java安全之初探weblogic T3协议漏洞 0x00 前言 在反序列化漏洞里面就经典的还是莫过于weblogic的反序列化漏洞,在weblogic里面其实反序列化漏洞利用中大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞.当然也还会有一些SSRF和任意文件上传漏洞,但是在这里暂且不谈. 下面来列出两个漏洞类型的一些漏洞编号 基于T3协议漏洞: CVE-2015-4582.CVE-2016-06…