WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)

10月前作者：OidBoy_G 分类：Toy博客阅读(96) 违法举报

这篇具有很好参考价值的文章主要介绍了WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

1、漏洞概述

Oracle官方发布了2021年7月份安全更新通告，通告中披露了WebLogic组件存在高危漏洞，攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。

这是一个二次反序列化漏洞，是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。

2、影响范围

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

3、复现环境

vulfocus在线靶场

WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)

4、漏洞复现

复现所需以下工具：

JDNI注入：https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0

漏洞利用：文章来源地址https://www.toymoban.com/news/detail-456469.html

到了这里，关于WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

Shiro反序列化漏洞综合利用工具Shiro Attack使用教程

目录漏洞扫描利用链检测执行命令注入蚁剑内存马将目标网站输入在目标地址栏中吗，点击爆破密钥，如果发现key，则可以利用

2024年02月13日
浏览(36)
Shiro反序列化漏洞（CVE-2016-4437）+docker靶场+工具利用

将java对象转换为字节序列（json/xml）的过程叫序列化，将字节序列（json/xml）恢复为java对象的过程称为反序列化。 Shiro框架提供了“记住我”的功能，用户登陆成功后会生成经过加密并编码的cookie，cookie的key为RememberMe，cookie的值是经过序列化的，使用AES加密，再使用base64编码

2024年02月16日
浏览(46)
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞

漏洞信息漏洞名称：OracleWebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）影响版本：- WebLogic 10.x - WebLogic 12.1.3 此漏洞影响启用bea_wls9_async_response组件及wls-wsat组件的所有Weblogic版本。漏洞评级：高危漏洞简介： WebLogic Server是美

2023年04月08日
浏览(40)
【shiro】shiro反序列化漏洞综合利用工具v2.2（下载、安装、使用）

shiro反序列化漏洞综合利用工具v2.2下载：链接：https://pan.baidu.com/s/1kvQEMrMP-PZ4K1eGwAP0_Q?pwd=zbgp 提取码：zbgp 其他工具下载：除了该工具之外，github上还有其他大佬贡献的各种工具，有许多python编写的工具，功能简单，可以作为理解shiro漏洞原理并编写自己工具的教材。说明：

2023年04月08日
浏览(48)
反序列化漏洞及漏洞复现

问题：为什么要序列化？序列化，“将对象的状态信息转换为可以存储或传输的形式的过程”，这种形式大多为字节流、字符串、Json 串。在序列化期间内，将对象当前状态写⼊到临时或永久性的存储区。以后，就可以通过从存储区中读取或还原（反序列化）对象的状态，重

2024年02月09日
浏览(46)
漏洞复现——shiro反序列化

今天咱们的主角是shiro反序列化命令执行漏洞。该漏洞在HVV等大型攻防项目中，经常被作为突破口。简单介绍了解一下还是很有必要的。废话不多说，进入正题。一、漏洞描述： Apache Shiro是美国阿帕奇（Apache）软件基金会的一套用于执行认证、授权、加密和会话管理的Java安

2024年02月09日
浏览(41)
typecho 反序列化漏洞复现

下载typecho14.10.10 安装，这里需要安装数据库 POC.php POST数据包如下，访问install.php并携带参数finish，Referer来自本网站，POST传递恶意参数步骤和前面一样，把payload放__typecho_config=就行

2024年02月09日
浏览(52)
Fastjson反序列化漏洞复现小结

简单来说：Fastjson是解析JSON格式的字符串的，允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名，进而执行类里的恶意代码。 1、Fastjson1.2.24远程代码执行（CNVD-2017-02833 ） 2、Fastjson=1.2.47远程代码执行漏洞（CNVD-2019-22238） 3、Fstjson =1.2.60 远程代码执行漏洞

2023年04月08日
浏览(48)
ActiveMQ反序列化漏洞原理+复现

ActiveMQ反序列化漏洞 ActiveMQ ActiveMQ是开源消息总线，消息中间件工作原理通过使用消息队列，实现服务的异步处理，主要目的是减少请求响应时间和解耦合。消息队列，服务器A将客户发起的请求放入服务器B的消息队列中，服务器B从消息队列中取出并处理。从以上内容中可

2024年02月05日
浏览(60)
Hessian 反序列化RCE漏洞复现

Hessian是二进制的web service协议，官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用，区别是Hessian是二进制协议，Axis、XFire则是SOAP协议，所以从性能上说Hessian远优于后两者，并且Hessian的JAVA使用方法非

2024年02月11日
浏览(38)