xmldecoder | CN-SEC 中文网

安全文章

XMLDecoder反序列化漏洞(CVE-2017-3506)

漏洞原理在/wls-wsat/CoordinatorPortType（POST）处构造SOAP（XML）格式的请求，在解析的过程中导致XMLDecoder反序列化漏洞。分析漏洞调用链weblogic....

03月12日11 views评论

阅读全文

安全文章

炒冷饭之实战weblogic XMLDecoder反序列化

一、历史某次实战中在内网看到了weblogic，是存在XMLDecoder的低版本，早几年是易于利用的入口。现在经过多轮整改，已经很难见到，偶尔在内网中还能看到它(当然很大可能是蜜罐)。正常...

06月14日32 views评论

阅读全文

安全文章

【Web渗透】Weblogic漏洞总结

1、XMLDecoder反序列化漏洞（CVE-2017-10271 & CVE-2017-3506）漏洞简介：Weblogic的WLS Security组件对外提供webservice服务，其...

12月16日40 views评论

阅读全文

安全文章

蓝凌OA sysSearchMain.do 远程命令执行漏洞

蓝凌OA sysSearchMain.do文件存在任意文件写入漏洞，攻击者获取后台权限后可通过漏洞写入任意文件，也可以通过 custom.jsp 文件未授权写入恶意文件网络测绘：app="Landr...

09月07日220 views评论

阅读全文

代码审计

【学习笔记】Weblogic反序列化审计（原理+利用）

0x01 前言JAVA不是很熟，打算练练手，以下内容都是参考了很多师傅的文章，并非原创，只是作为汇总+复现，内容如有错漏之处，恳请指正0x02 目录XMLDecoder反序列化漏洞（CVE-...

07月09日96 views评论

阅读全文

安全文章

Weblogic 绕waf实战

Part1 前言最近安服的同事打比赛，给我陆续发了好几个没有拿下来的Weblogic的站点，一直在想尽各种办法研究，争取拿下权限。各种WAF防护、终端防护、不出网、SUID不一致、EXP没回显等等原...

04月01日71 views评论

阅读全文

安全文章

WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271）

1、漏洞描述CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在...

03月06日78 views评论

阅读全文

代码审计

浅谈weblogic反序列化：XMLDecoder的绕过史

从CVE-2017-3506为起点至今，weblogic接二连三的吧爆出了大量的反序列化漏洞，而这些反序列化漏洞的很大一部分，都是围绕着XMLDecoder的补丁与补丁的绕过展开的，所以笔者以CVE-...

10月05日36 views评论

阅读全文

代码审计

Weblogic 远程命令执行漏洞分析(CVE-2019-2725)及利用payload构造详细解读

0x01. 漏洞简介此次漏洞不算什么新的点，核心利用点依旧是weblogic的xmldecoder反序列化漏洞，只是通过构造巧妙的利用链可以对Oracle官方历年来针对这个漏洞点的补丁绕过。Oracl...

04月23日53 views评论

阅读全文

安全文章

java_bean XMLDecoder

一、前言上一篇跟完了java.io.ObjectInputStream的内部逻辑，今天来看下java.bean XMLDecoder。弱弱说，有点水，跟到后面懒得跟了23333333二、准备idea ...

04月13日64 views评论

阅读全文

安全文章

weblogic_xmldecoder安全问题分析

这篇文章将会分析weblogic中xmldecoder引发的安全问题,如果发现有错误的地方,希望师傅们斧正。 0x00 环境搭建 $ cat docker-compose.yml version: &...

01月10日50 views评论

阅读全文

安全文章

XMLDecoder反序列化与CVE-2017-10271

XMLEncoder与 XMLDecoder使用XMLEncoder来生成表示JavaBeans组件（bean）的XML文档，用XMLDecoder读取使用 XMLEncoder ...

07月20日48 views评论

阅读全文

XMLDecoder反序列化漏洞(CVE-2017-3506)

炒冷饭之实战weblogic XMLDecoder反序列化

【Web渗透】Weblogic漏洞总结

蓝凌OA sysSearchMain.do 远程命令执行漏洞

【学习笔记】Weblogic反序列化审计（原理+利用）

Weblogic 绕waf实战

WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271）

浅谈weblogic反序列化：XMLDecoder的绕过史

Weblogic 远程命令执行漏洞分析(CVE-2019-2725)及利用payload构造详细解读

java_bean XMLDecoder

weblogic_xmldecoder安全问题分析

XMLDecoder反序列化与CVE-2017-10271

在线咨询

微信