weblogic漏洞扫描工具 反序列化漏洞扫描工具

原创 已于 2024-01-19 11:38:15 修改 · 1.5k 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全 #服务器 #网络
于 2023-03-16 22:00:00 首次发布
文章介绍了用于检测Weblogic服务器漏洞的扫描工具,包括console页面探测、弱口令扫描、SSRF和反序列化漏洞检查等功能。此外,还提供了一份网络安全学习路线,从基础入门到高阶提升,涵盖各种常见漏洞类型和技术,帮助读者提升网络安全技能。

weblogic 漏洞扫描工具 妄想试图weblogic一把梭

目前检测的功能

  • console 页面探测 & 弱口令扫描
  • uuid页面的SSRF
  • CVE-2017-10271 wls-wsat页面的反序列化
  • CVE-2018-2628 反序列化

后期可以的话还会继续加功能的,主要是一些反序列化的poc真的不好写,我也不咋会…

开始使用

使用前请先填写config.py中的server参数 推荐配合http://ceye.io之类的工具使用,server格式为http://xxx.ceye.io

使用方式比较简单,目前支持两种模式

1、扫描url.txt中的所有url

python3 weblogic-scan

复制

2、扫描单一的url

python3 weblogic-scan 127.0.0.1:7001

复制

img

console弱口令和CVE-2018-2628的扫描结果会直接在控制台中输出。

uuid页面的SSRF以及wls-wsat反序列化会在server服务器中留下日志文件。 会在域名前带上受影响机子的地址,这样扫描多个地址的时候方便做区分。

img

prepare

ENV
  • version: python3
  • expand : requests
config.py
  • timeout: 自定义timeout的时间,包括requests和socket的timeout
  • server(没有默认值,务必填写): 由于一些exp发送后具体有没有成功需要看服务器是否有数据返回 需要一个服务器来接受这种数据,例如http://ceye.io 攻击成功会在dns记录以及http的log部分留下数据
url.txt

支持如下几种格式的url

  • 127.0.0.1
  • 127.0.0.1:7001
  • http://127.0.0.1
  • http://127.0.0.1:7001
  • https://127.0.0.1
  • http://127.0.0.1:7001

不填写端口默认端口为80,https起头的默认端口为443

0.0.1

  • http://127.0.0.1:7001

不填写端口默认端口为80,https起头的默认端口为443

weblogic漏洞扫描工具 项目地址:weblogic-scan

网络安全基础入门需要学习哪些知识?

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v19T846c-1677167179814)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一:基础入门

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sRoDZu4K-1677167179814)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-il25GFVz-1677167179815)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ITOSD3Gz-1677167179816)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKCwwld2-1677167179818)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

weblogic反序列化全版本漏洞利用工具
06-27
weblogic反序列化全版本漏洞利用工具,可执行命令
WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)
0xSec
04-08 5283
Oracle官方发布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞WebLogic Server组件进行攻击。成功利用漏洞的攻击者可以接管WebLogic Server。这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。
WeblogicScan终极指南:10分钟掌握Weblogic一键漏洞检测神器
最新发布
gitblog_00001的博客
04-21 958
WeblogicScan是一款功能强大的Weblogic一键漏洞检测工具,能够帮助用户快速、准确地检测Weblogic服务器中的各种安全漏洞。无论是新手还是有经验的安全测试人员,都能通过这款工具轻松完成Weblogic漏洞检测任务。 [![WeblogicScan工具Logo](https://raw.gitcode.com/gh_mirrors/we/WeblogicScan/raw/05ce
中间件安全Weblogic 反序列化漏洞.(使用工具可以利用多种类型漏洞
网络安全领域___专研者.
11-27 2514
WebLogic 是美国 Oracle 公司出品的一个 application server,确切的说是一个基于 JAVA EE 架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
WeblogicScan安装及使用
qq_52358808的博客
08-23 1万+
WeblogicScan 一键漏洞扫描检测工具,提供一键poc检测,收录几乎全部weblogic历史漏洞。 https://github.com/rabbitmask/WeblogicScan 原版 https://github.com/dr0op/WeblogicScan 修改版,多一个CVE检测,高亮美化 https://github.com/21superman/weblogic_exploit 漏洞比较全面 ...
【渗透测试】Weblogic系列漏洞
weixin_53972936的博客
11-01 4035
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Weblogic 常见漏洞分析与利用
热门推荐
未完成的歌~的博客
03-23 1万+
一直没有系统的总结过 weblogic漏洞,今天通过 vulhub 靶场来复现几个经典的案例。WebLogic 是美国 Oracle 公司出品的一个基于 JAVAEE 架构的中间件,是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的Java应用服务器WebLogic 由纯 Java 开发,长期以来一直被认为是市场上最好的J2EE工具之一,被广泛应用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。
weblogic发序列化命令执行漏洞工具分享
u011790603的博客
07-30 2452
weblogic发序列化命令执行漏洞工具分享 weblogic发序列化命令执行漏洞工具分享(链接: https://pan.baidu.com/s/1qE5MFJ32672l-MMl-QL-wQ 密码: d85j) JBOSS_EXP 工具分享(链接: https://pan.baidu.com/s/1SF_0oSN_lar9dkTWOZKDDw 密码: zfrd) oracle提权执行命令工具o...
组件漏洞_扫描检测工具
weixin_42786460的博客
09-10 1219
组件漏洞_扫描检测工具
【亲测免费】 探索WeblogicExploit-GUI:一款强大的WebLogic漏洞利用工具
gitblog_00031的博客
04-14 1999
探索WeblogicExploit-GUI:一款强大的WebLogic漏洞利用工具网络安全领域,能够及时发现和利用漏洞是至关重要的。今天,我们向大家推荐一个开源项目——WeblogicExploit-GUI,这是一个专为WebLogic服务器设计的图形化漏洞利用工具。它可以帮助安全研究人员和管理员更高效地识别并测试相关漏洞,以提升系统的安全性。 项目简介 WeblogicExploit-GUI...
weblogic漏洞工具检测上传webshell
prcool的博客
02-02 2388
weblogic 漏洞工具检测上传webshell
weblogic漏洞利用工具-WeblogicExploit-GUI
SuperherRo的博客
08-17 2076
Weblogic漏洞利用图形化工具 支持注入内存马、一键上传webshell、命令执行
weblogic漏洞利用工具-WeblogicTool
SuperherRo的博客
08-17 5629
WeblogicTool,GUI漏洞利用工具,支持漏洞检测、命令执行、内存马注入、密码解密等(深信服深蓝实验室天威战队强力驱动)
【亲测免费】 WeblogicScan:一键漏洞检测工具
gitblog_07171的博客
09-13 863
WeblogicScan 是一个开源的漏洞检测工具,主要用于检测 Oracle WebLogic 服务器安全漏洞。该项目由 Tide_RabbitMask 开发,使用 Python 语言编写,旨在帮助安全研究人员和系统管理员快速识别 WebLogic 服务器中的潜在安全风险。 ## 项目核心功能 WeblogicScan 的核心功能包括: 1. **一键漏洞检测**:提供一键式的漏洞检测功...
探索WebLogic扫描工具:KingKaki的Weblogic-scan
gitblog_00014的博客
03-27 1055
探索WebLogic扫描工具:KingKaki的Weblogic-scan 在网络安全日益重要的今天,对应用程序的漏洞检测成为了一项必不可少的任务。WebLogic,作为Oracle公司的一款企业级应用服务器,其安全性直接影响到大量业务系统的稳定运行。为此,我们想要向您推荐一个名为Weblogic-scan的开源项目,它是由KingKaki开发的一个专门针对WebLogic的自动化安全扫描工具。 ...
Weblogic漏洞
周星星的博客
09-05 2683
中间件漏洞weblogic漏洞初步学习,后续继续复现相关漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值