前言 所属的类别 web服务器:IIS、Apache、nginx、tomcat、weblogic、websphere等。 web中间件:apache tomcat、BEA WebLogic、IBM WebSphere等。 web容器:JSP容器、SERVLET容器、ASP容器等。 0x01 tomcat远程部署漏洞详情 tomcat管理地址通常是: 1Http://localhost:8080/manager 默认账号密码: 1 2 3 4root/root tomcat/tomcat admin ad
今天发现的我程序出现了修改了,但是没有改变的情况,经过大师的指点,发现是发布模式没有改
BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应 用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
大家在进行web开发的时候,都希望自己修改的内容在不手动编译、不重启服务的时候立即生效,这样可以极大的方便开发和调试。这个就是我今天要讲的weblogic的热部署。
网上有很多文章都说eclipse要安装额外的插件才能支持weblogic,可能以前需要这样,但自从bea的weblogic被oracle收购后,现在已经很简单了 一、先下载 Free Oracle WebLogic Server 12c (12.1.1) Zip Distribution and Installers for Developers http://www.oracle.com/technetwork/middleware/fusion-middleware/downloads/index.ht
Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和 数据库应用的Java应用服务器。
Weblogic Server是Oracle公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。Weblogic Console控制台由于管理员配置疏忽没有更改默认密码,或者存在账号弱口令漏洞,攻击者可在获取到账号密码的前提下登录管理后台,通过控制台“部署”功能模块部署恶意war包,进而getShell获取服务器管理权限。
中间件(middleware)是基础软件的一大类, 属于可复用软件的范畴. 顾名思义,中间件处于操作系统软件与用户的应用软件的中间.
Weblogic多域名配置--虚拟主机的配置 先指出一点,Weblogic 发布项目,如果不想要相对路径(如:http://127.0.0.1/test/),需要在WEB_INF目录下新建weblogic.xml。文件内容为:
上周参加了单位组织的WebLogic培训,为了便于自己记忆,培训后,整理梳理了一些WebLogic的资料,会陆续的发出来,下面是一些基本概念。
目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁,目前看到的修复方法无非两条:
执行rpm –Uvh jdk-7u55-linux-x64.rpm安装64位的JDK1.7(在Linux64位上面安装32位的jdk,可能会遇到缺少.os文件的问题)
漏洞速览 腾讯云安全运营中心监测到, Oracle发布了2022年1月的安全更新补丁,包含Oracle产品系列中的497个新安全补丁。此次更新涉及Oracle WebLogic Server多个高危漏洞,包括CVE-2022-21306,CVE-2022-21292,CVE-2022-21371等。建议及时安装此补丁更新,和此公告中的其他补丁。 | 漏洞概述 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是
先git clone https://github.com/cnsimo/CVE-2020-2551.git克隆本项目到本地。
WebLogic 是美国 Oracle 公司出品的一个 application server,确切的说是一个基于 JAVA EE 架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JavaEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
用户名密码分别为:weblogic/Oracle@123,上传war包即可获得webshell
接受更新选择确认,直接输入“Next”,回车(此时Receive Security Update:[No]表示不接受安全更新)
一、WebLogic的介绍 WebLogic是美国bea公司出品的一个application server,确切的说是一个基于Javaee架构的中间件,纯java开发的,最新版本WebLogic Server 9.0是迄今为止发布的最卓越的BEA应用服务器。BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。完全遵循J2EE 1.4规范。
准备好需要的 jdk、tomcat 等软件放到 home 目录下面,启动一个容器 docker run -t -i -v /home:/opt/data --name mk_tomcat Ubuntu /bin/bash
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的 我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。暂不说他们对于中间件安全的重视程度与了解程度,只谈发现漏洞后如何处理,便是一团乱。开发商推卸说这并不是代码上的问题,他们完全是按照安全开发流程(SDL)走的,所以跟他无关;运维人员就一脸蒙蔽了,反驳道:你们当初没跟我说要配置什么啊,只是让我安装个程序就ok了,我怎么知道?
近日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),延续了前几年不断爆出的Weblogic反序列化漏洞历史。趁此机会我们来总结分析一下,这些漏洞都是些啥? ▶▶WebLogic是干嘛的? WebLogic是美国甲骨文(Oracle)公司的一款知名应用服务中间件,它被用来开发、集成、部署和管理多种大型分布式系统,极大的方便了系统管理,以及简化部署步骤,在世界范围内被广泛运用。在中国常见于电信、政府行业和金融行业。 CNVD秘书处对W
一、背景 漏洞概述: WebLogic是美国Oracle公司的主要产品之一,是商业市场上主要的 J2EE 应用服务器软件,也是世界上第一个成功商业化的J2EE应用服务器,在 Java 应用服务器中有非常广泛的部署和应用。 10月21日,Oracle官方发布数百个组件的高危漏洞公告。其中组合利用CVE-2020-14882/ CVE-2020-14883可使未经授权的攻击者绕过WebLogic后台登录等限制,最终远程执行代码接管WebLogic服务器,利用难度极低,风险极大。 此处漏洞均存在于WebLogi
WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVAEE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
对于刚接触编程的新人来说,可能并不能很清楚的知道架构是怎么来的,都包括什么内容。如果非得说什么架构,那么可能就是目前在 IDEA 中打开的工程就是架构。
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于Java EE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
docker run -t -i -v /home:/opt/data –name mk_tomcat ubuntu /bin/bash
一次web访问的顺序,web浏览器->web服务器(狭义)->web容器->应用服务器->数据库服务器
1、下载183 MB压缩包 https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html
J2ee开发主要是浏览器和服务器进行交互的一种结构.逻辑都是在后台进行处理,然后再把结果传输回给浏览器。可以看出服务器在这种架构是非常重要的。 这几天接触到两种Java的web服务器,做项目用的Tomcat,看视频看的是WebLogic Server(WLS),都是web服务器,有什么区别和联系呢? (一)先简单介绍一下这两种服务器。 WebLogic是美国bea公司出品的一个application server,确切的说是一个基于Javaee架构的中间件,纯java开发的,最新版本WebLogic Server 9.0是迄今为止发布的最卓越的BEA应用服务器。BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。完全遵循J2EE 1.4规范。 Tomcat服务器是一个免费的开源的Web 应用服务器,是Apache 软件基金会的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定,运行时占用的系统资源小,扩展性好,支持负载平衡与邮件服务等开发应用系统常用的功能;而且很重要的是她免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web 应用服务器。而且由于开源,它还在不断的改进和完善中,任何一个感兴趣的程序员都可以更改它或在其中加入新的功能。 (二)相同点: WebLogic和Tomcat都是基于java的基础架构来满足实时处理需求,不同的版本与jdk版本兼容和有所不同;因为都是要和前台交互,所以他们都基于sun公司的servlet来实现的。 (三)不同点: 功能性: WebLogic更加强大。weblogic是j2ee的应用服务器(application server),包括ejb ,jsp,servlet,jms等等,全能型的。是商业软件里排名第一的容器(JSP、servlet、EJB等),并提供其他如JAVA编辑等工具,是一个综合的开发及运行环境。 WebLogic应该是J2EE Container(Web Container + EJB Container + XXX规范)! Tomcat只能算Web Container,是官方指定的JSP&Servlet容器。只实现了JSP/Servlet的相关规范,不支持EJB(硬伤啊)!不过Tomcat配合jboss和apache可以实现j2ee应用服务器功能 一般来说考虑stucts等架构tomcat就可以了,但如果考虑EJB的话,WebLogic是比较好的选择。 扩展性: 用WebLogic运行标准的java可能并不是最好的方式,WebLogic里支持他自己的一些东西,这些东西虽然是在纯java基础上开发的,但其他工具里都没有。WebLogic Server凭借其出色的群集技术,拥有处理关键Web应用系统问题所需的性能、可扩展性和高可用性。 WebLogic Server既实现了网页群集,也实现了EJB组件 群集,而且不需要任何专门的硬件或操作系统支持。网页群集可以实现透明的复制、负载平衡以及表示内容容错 。 无论是网页群集,还是组件群集,对于电子商务解决方案所要求的可扩展性和可用性都是至关重要的。共享的客户机/服务器和数据库连接以及数据缓存和EJB都增强了性能表现。这是其它Web应用系统所不具备的 所以,在扩展性方面WebLogic是远远超越了Tomcat。 费用上: Tomcat开源免费。 WebLogic不开源不免费。 总之,在功能强大和扩展性和可用性等方面WLS比Tomcat好很多,但这也不能说明WLS适合每一方面,从Tomcat的使用流行度便可以看出,Tomcat虽功能有限,但也很受欢迎。其实关键看你要做什么。Tomcat 是免费开源的jsp,servlet引擎,入门级别的Web服务器,刚入门的IT人使用Tomcat简单易上手。而且它一个轻量级应用服务器,最重要的是它免费,所以在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。Tomcat比较轻巧,消耗资源较少。当然,项目大的时候,WLS肯定再合适不过,而且Tomcat也无法满足太多需求,但是,WLS的费用也是不可小觑的。 总之,关键看你做什么,权衡利弊做选择。 此外,还有其他J2EE Application Server,例如: IBM的websphere、Sun的Glassfish、resin等。Apache全球应用最广泛的http服务器,免费。同样开源免费的JBoss
北京时间7月18日,Oracle官方发布了7月份(第二季度)的关键补丁更新CPU(Critical Patch Update),其中修复了一个4月份(第一季度)CPU补丁中未能完全修复的Weblogic反序列化漏洞(CVE-2018-2628),但由于Weblogic采用黑名单的方式阻止恶意反序列化,仍存在被绕过的可能。请相关用户关注绿盟科技安全预警,在漏洞爆出时及时知晓,及时防护,减少因此漏洞造成的损失。
本 Chat 介绍 Weblogic 常见的漏洞,其中包括:弱口令、Java 反序列化、XMLdecoder 反序列化、SSRF 漏洞、任意文件上传,并根据其漏洞,使用 Docker+Vulhub 进行复现。
Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器
背景 项目用的weblogic,每次改了java或者xml文件等,都需要重新部署项目并启动容器才可以生效,且不支持热部署,导致开发效率低。 发现问题 配置了junit后,发现会报一些找不到上下文,找不到数据源等错误。 问题解决 原来是项目中的jndi配置的内容用的是weblogic容器的jndi。而weblogic是和数据源进行配置绑定好了,这就导致单元测试在脱离应用服务器的环境下无法启用 因此单元测试的DB连接配置修改成,用于跟weblogic解耦合 <bean id="ppcbDs" cla
Web服务器是运行及发布Web应用的容器,只有将开发的Web项目放置到该容器中,才能使网络中的所有用户通过浏览器进行访问。开发Java Web应用所采用的服务器主要是与JSP/Servlet兼容的Web服务器。
- Weblogic T3协议远程代码执行漏洞(CVE-2020-2883) -
- Weblogic WLS组件IIOP协议远程代码执行漏洞 (CVE-2020-2551) -
Weblogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JavaEE架构的中间件,Weblogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一,是并购BEA得来。是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器, 已推出到12c(12.2.1.4) 版。而此产品也延伸出WebLogic Portal,WebLogic Integration等企业用的中间件(但当下Oracle主要以Fusion Middleware融合中间件来取代这些WebLogic Server之外的企业包),以及OEPE(Oracle Enterprise Pack for Eclipse)开发工具。
一、搭建JBass环境 vulhub下载: sudo git clone https://github.com/vulhub/vulhub.git vulhub是基于docker-compose环境搭建的,里面集成了很多的漏洞版本,例如: vulhub里面又有很多个漏洞,每一个文件夹代表着一个漏洞 接下来,开始搭建vulhub环境: 搭建vulhub环境需要docker-compose,如果没有docker-compose的话就先下载吧 下载:sudo apt install docker-compose
镜像地址:dockerhub 构建之后要运行weblogic,需要使用官方提供的示例,参考上篇文章中间部分:利用Docker手动构建WebLogic镜像。
Shiro反序列化漏洞虽然出现很多年了,但是在平时的攻防比赛与红队评估项目中还是能遇到。主站也许遇不到Shiro漏洞,但是主站边缘域名、全资子公司的子域名、边缘资产、微信公众号、微信小程序啥的,总能找到。现在遇到的shiro反序列化漏洞也是越来越难了,好多都是别人搞不定的。搞不定的原因要么是key比较偏门,要么是过不了waf防护,要么就是找不到可用的利用链,导致没办法拿权限。
- Weblogic WLS Core Components反序列化命令执行漏洞(CVE-2018-2628) -
Weblogic Server是Oracle公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。Oracle Weblogic Server自带的wls9_async_response.war组件及wls-wsat组件中,该漏洞绕过了Weblogic用于修复CVE-2019-2725的补丁,未经授权的攻击者可以发送精心构造的恶意HTTP请求,实现远程代码执行,从而获取服务器权限。
本人使用weblogic 10.3.6 版本,下载地址百度云盘以共享,有需要的可以自己去下载。 链接: https://pan.baidu.com/s/1C0xr5mrLkNEPJ0ilWJ6Dzw 公众号回复:weblogic 获取提取码 安装非常简单下一步、下一步 ,最后一步点击完成就ok了。找到启动项点击启动服务。
领取专属 10元无门槛券
手把手带您无忧上云