- 综合排序
- 最热优先
- 最新优先
- 来自专栏数据和云
【警惕】大量未修复WebLogic WSAT组件RCE漏洞的主机被挖矿程序攻击
警惕 从1月1日开始,大量未修复WebLogic WSAT(全称:Web Services Atomic Transactions)组件RCE漏洞的主机被挖矿程序攻击,尤其是1月3日,更是大面积爆发, 版本,wls-wsat应用包的位置: $WL_HOME/server/lib/wls-wsat.war WebLogic12c版本(12.1.3、12.2.1.1、12.2.1.2版本): $BEA_HOME /oracle_common/modules/com.oracle.webservices.wls.wsat-endpoints-impl_<xxx>.war) (3)删除每个WebLogic Server 组件是否已经清干净,用浏览器或写脚本检测每个WebLogic Server上的/wls-wsat/CoordinatorPortType应用URL((http://< wls listenaddress 另外,删除每个WebLogicServer目录下的tmp目录的操作跟-Dweblogic.wsee.wstx.wsat.deployed=false(禁用wls-wsat功能)功效相似,但删tmp目录的操作还可以清除可疑的
1.7K60发布于 2018-03-08 - 来自专栏LuckySec网络安全
Weblogic WLS组件远程代码执行漏洞(CVE-2017-10271)
12.2.1.1.0 Oracle Weblogic Server 12.2.1.2.0 0x02 漏洞等级 图片 0x03 漏洞验证 访问目标网站,如果出现以下页面地址说明可能存在漏洞: /wls-wsat /CoordinatorPortType /wls-wsat/RegistrationPortTypeRPC /wls-wsat/ParticipantPortType /wls-wsat/RegistrationRequesterPortType /wls-wsat/CoordinatorPortType11 /wls-wsat/RegistrationPortTypeRPC11 /wls-wsat/ParticipantPortType11 /wls-wsat/RegistrationRequesterPortType11 使用WeblogicScaner工具检测目标网站存在CVE-2017-10271漏洞。 POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: your-ip:7001 Accept-Encoding: gzip, deflate Accept:
1.9K20编辑于 2022-11-18 - 来自专栏绿盟科技安全情报
【漏洞预警】Weblogic反序列化漏洞(绕过CVE-2019-2725)0day预警通告
预警编号:NS-2019-0021 2019-06-16 TAG:Oracle、Weblogic、远程代码执行、wls9-async、wls-wsat、CNVD-C-2019-48814、CVE-2019 wls-wsat 用户可通过访问路径 /wls-wsat/CoordinatorPortType,判断wls-wsat组件是否开启。若返回如下页面,则此组件开启。 名称填写:weblogic(可自定义填写) 检测对象填写:URI 匹配操作选择:正则包含 检测值填写:/wls-wsat|/_async ? 3、点击确定,并在站点和虚拟站点中应用该自定义规则。 4.2.2 配置URL访问控制策略 部署于公网的用户,可通过访问控制策略禁止对/_async/*及/wls-wsat/*路径的访问。 4.2.3 删除不安全文件 删除wls9_async_response.war、wls-wsat.war文件及相关文件夹,并重启Weblogic服务。
1.3K20发布于 2019-10-24 - 来自专栏漏斗社区
工具| NSE漏洞审计和渗透脚本的demo
本期将以Weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞为例子,为大家介绍如何用NSE来编写渗透脚本。 port.numner is : ",port.number) print("port status is : ",port.state) local basepath = "/wls-wsat local randomnum = math.random(1000000,9999999) -- 生成一个随机数,POC需要具有随机性 local randomurl = '/wls-wsat Keep-Alive" } } local req = http.get(host,port,basepath,{ no_cache = true}) -- 检测是否存在/wls-wsat Detect PATH: /wls-wsat/CoordinatorPortType ,Mabey CVE-2017-10271 ,Weblogic < 10.3.6 'wls-wsat' XMLDecoder
1.1K70发布于 2018-03-28 - 来自专栏FreeBuf
漏洞预警丨Oracle WebLogic XMLDecoder反序列化漏洞
这两个历史漏洞的数据输入点在 /wls-wsat/ 目录下。第三个是 CVE-2019-2725,这个漏洞的数据输入点增加了一个/_async/. 2.可通过访问路径/wls-wsat/CoordinatorPortType,判断wls-wsat组件是否存在。若返回如下页面,则此组件存在。请引起关注,及时采取防护措施。 ? 四、修复方案 4.1 配置访问控制策略 可通过配置访问控制策略禁止非法用户访问以下路径 /wls-wsat/*/_async/* 4.2 删除不安全文件 删除 wls9_async_response.war 与 wls-wsat.war 文件及相关文件夹,并重启 Weblogic 服务。
1.4K20发布于 2019-06-18 - 来自专栏绿盟科技安全情报
【漏洞预警更新】Weblogic反序列化远程代码执行漏洞(CVE-2019-2725)处置手册
预警编号:NS-2019-0015-2 2019-04-28 TAG: Oracle、Weblogic、远程代码执行、wls9-async、wls-wsat、CNVD-C-2019-48814、CVE 受影响版本 Oracle WebLogic Server 10.* Oracle WebLogic Server 12.1.3 此漏洞影响启用bea_wls9_async_response组件及wls-wsat wls-wsat 用户可通过访问路径 /wls-wsat/CoordinatorPortType,判断wls-wsat组件是否开启。若返回如下页面,则此组件开启。 4.3.1 配置URL访问控制策略 部署于公网的用户,可通过访问控制策略禁止对/_async/*及/wls-wsat/*路径的访问。 4.3.2 删除不安全文件 删除wls9_async_response.war、wls-wsat.war文件及相关文件夹,并重启Weblogic服务。
1.8K10发布于 2019-10-24 - 来自专栏绿盟科技安全情报
【漏洞预警】Weblogic wls9-async反序列化远程代码执行漏洞处置手册V2.2
预警编号:NS-2019-0015-1-1 2019-04-22 TAG:Oracle、Weblogic、远程代码执行、wls9-async、wls-wsat、CNVD-C-2019-48814危害等级 受影响版本 Oracle WebLogic Server 10.* Oracle WebLogic Server 12.1.3 此漏洞影响启用bea_wls9_async_response组件及wls-wsat wls-wsat 用户可通过访问路径 /wls-wsat/CoordinatorPortType,判断wls-wsat组件是否开启。若返回如下页面,则此组件开启。 4.2.1 配置URL访问控制策略 部署于公网的用户,可通过访问控制策略禁止对/_async/*及/wls-wsat/*路径的访问。 4.2.2 删除不安全文件 删除wls9_async_response.war、wls-wsat.war文件及相关文件夹,并重启Weblogic服务。
1.4K30发布于 2019-10-24 - 来自专栏数据库新发现
紧急预警:wls9_async_response.war组件漏洞的延续
3.5 附录 附:早期wls-wsat组件漏洞仍存在安全风险,如果http://ip_address:port/wls-wsat/CoordinatorPortType 可以访问,那么建议从防火墙、负载均衡器禁止访问带有这种 /wls-wsat 上下文根、或者删除 示例如下: find. -name*wsat* /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war home/WebLogic/Oracle /Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.in ternal/wls-wsat.war /home/ WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_ WL_internal/wls-wsat
1.2K40发布于 2019-06-22 - 来自专栏世荣的博客
Linux应急响应day1:SSH暴力破解
根据实际环境路径,删除WebLogic程序下列war包及目录 rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war /WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat 重启WebLogic或系统后,确认以下链接访问是否为404 http://x.x.x.x:7001/wls-wsat 防范措施 新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率
85610编辑于 2022-03-21 - 来自专栏HACK学习
干货 | 最全的Weblogic漏洞复现笔记
漏洞复现 这里使用的weak_password环境weblogic的版本为10.3.6,也存在这个漏洞,所以继续使用这个docker 访问以下目录中的一种,有回显如下图可以判断wls-wsat组件存在 /wls-wsat/CoordinatorPortType/wls-wsat/RegistrationPortTypeRPC/wls-wsat/ParticipantPortType/wls-wsat /RegistrationRequesterPortType/wls-wsat/CoordinatorPortType11/wls-wsat/RegistrationPortTypeRPC11/wls-wsat /ParticipantPortType11/wls-wsat/RegistrationRequesterPortType11 在当前页面抓包之后在标签之间分别写存放jsp的路径和要写入的shell 漏洞复现 进入CVE-2017-10271对应的docker环境 访问http://192.168.1.10:7001/wls-wsat/CoordinatorPortType如下图所示则存在漏洞
3.3K41编辑于 2022-02-17 - 来自专栏Harvey
vulhub-weblogic漏洞复现
影响范围: 10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0 触发漏洞url: /wls-wsat/CoordinatorPortType11 /wls-wsat/ CoordinatorPortType /wls-wsat/RegistrationPortTypeRPC /wls-wsat/ParticipantPortType /wls-wsat/RegistrationRequesterPortType /wls-wsat/RegistrationPortTypeRPC11 /wls-wsat/ParticipantPortType11 /wls-wsat/RegistrationRequesterPortType11 首先初步判断,访问 http://ip:7001/wls-wsat/CoordinatorPortType11 存在下图,则说明可能存在漏洞 接着我们构造个POST包进行测试,写入文件,访问 http ://ip:7001/wls-wsat/test.txt 可以发现成功写入test 然后构造好反弹shell的命令,使用nc监听4444端口,最终成功反弹 CVE-2018-2628 搭建环境 root
1.4K10编辑于 2022-08-10 - 来自专栏绿盟科技安全情报
【漏洞预警】Weblogic wls9-async反序列化远程代码执行漏洞预警通告V2.0
预警编号:NS-2019-0015-1 2019-04-20 TAG:Oracle、Weblogic、远程代码执行、wls9-async、wls-wsat、CNVD-C-2019-48814危害等级 wls-wsat 用户可通过访问路径 /wls-wsat/CoordinatorPortType,判断wls-wsat组件是否开启。若返回如下页面,则此组件开启。 4.2.1 配置URL访问控制策略 部署于公网的用户,可通过访问控制策略禁止对/_async/*及/wls-wsat/*路径的访问。 4.2.2 删除不安全文件 删除wls9_async_response.war、wls-wsat.war文件及相关文件夹,并重启Weblogic服务。 4.2.3 禁用bea_wls9_async_response及wls-wsat 用户可通过在weblogic启动参数中禁用bea_wls9_async_response及wls-wsat的方式,对此漏洞形成临时防护
1.1K30发布于 2019-10-24 - 来自专栏Java架构师必看
Window应急响应(四):挖矿病毒[通俗易懂]
根据实际环境路径,删除WebLogic程序下列war包及目录 rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war /WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat 重启WebLogic或系统后,确认以下链接访问是否为404 http://x.x.x.x:7001/wls-wsat 0x04 防范措施 新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术
2.1K51编辑于 2022-02-14 - 来自专栏一名白帽的成长史
【漏洞复现】Weblogic漏洞搭建与复现:CVE-2017-10271
公众号回复10271即可获取工具~ 也可以尝试访问http://192.168.3.137:7001/wls-wsat/CoordinatorPortType ? 如果存在该页面,则可能存在漏洞。 class="java.io.PrintWriter"> <string>servers/AdminServer/tmp/_WL_internal/wls-wsat Part.4 漏洞修复 1、临时方案 删除WebLogicwls-wsat组件: rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server /tmp/.internal/wls-wsat.war rm -rf/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/ servers/AdminServer/tmp/_WL_internal/wls-wsat 重启Weblogic域控制器服务: DOMAIN_NAME/bin/stopWeblogic.sh
7K10发布于 2020-02-25 - 来自专栏Bypass
Window应急响应(四):挖矿病毒
根据实际环境路径,删除WebLogic程序下列war包及目录 rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war /WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat 重启WebLogic或系统后,确认以下链接访问是否为404 http://x.x.x.x:7001/wls-wsat 0x04 防范措施 新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术
1.5K20发布于 2019-07-08 - 来自专栏黑白天安全团队
Weblogic漏洞利用总结
漏洞触发地址 /wls-wsat/CoordinatorPortType /wls-wsat/RegistrationPortTypeRPC /wls-wsat/ParticipantPortType /wls-wsat/RegistrationRequesterPortType /wls-wsat/CoordinatorPortType11 /wls-wsat/RegistrationPortTypeRPC11 /wls-wsat/ParticipantPortType11 /wls-wsat/RegistrationRequesterPortType11 漏洞复现 1.访问触发此漏洞的 ip:7001//wls-wsat/CoordinatorPortType ? 2.使用burp抓取请求包后发送至repeater模块,将数据包修改成构造好的payload POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: ip:7001
5.3K20发布于 2021-03-16 - 来自专栏腾讯云安全的专栏
WebLogic接二连三被曝漏洞,到底是为啥?
WebLogic历代反序列化漏洞(不完全统计): 漏洞编号 涉及组件/协议 CVE-2015-4852 T3协议 CVE-2016-0638 T3协议 CVE-2017-3506 http协议/wls-wsat 组件 CVE-2017-10271 http协议/wls-wsat组件 CVE-2018-2628 T3协议 CVE-2018-2893 T3协议 CNVD-C-2019-48814 http协议/wls-wsat ▶▶什么是T3协议,什么是wls-wsat组件? T3协议是WebLogic内部的通讯协议,并且默认都是开启的。 wls-wsat是WebLogic Server大部分版本都默认包含的核心组件之一。 5.针对wls-wsat组件相关漏洞,您还可以 1)通过访问策略控制禁止外部/_async/* 及 /wls-wsat/*路径的URL访问; 2)通过控制台云安全组限制指定源 IP 对WebLogic默认端口
1.3K31发布于 2019-05-16 - 来自专栏大内老A
WCF技术剖析之三十三:你是否了解WCF事务框架体系内部的工作机制?[上篇]
WriteTransaction(TransactionProtocol.WSAtomicTransactionOctober2004, Transaction.Current, "wsat10 "); 7: WriteTransaction(TransactionProtocol.WSAtomicTransaction11, Transaction.Current, "wsat11 =</OletxTransactionPropagationToken> 11: </Transaction> 12: </s:Body> 13: </s:Envelope> Wsat10 <Expires>59392</Expires> 7: <CoordinationType>http://schemas.xmlsoap.org/ws/2004/10/wsat 6: <Expires>59392</Expires> 7: <CoordinationType>http://docs.oasis-open.org/ws-tx/wsat
77390发布于 2018-01-16 - 来自专栏ConsT27的笔记
浅析weblogic 反序列化漏洞
10.3.6.0 WebLogic 12.1.3.0 WebLogic 12.2.1.0 WebLogic 12.2.1.1 WebLogic 12.2.1.2 该漏洞利用weblogic的wls-wsat 复现分析如下 [*] wls-wsat组件路径: /wls-wsat/CoordinatorPortType /wls-wsat/CoordinatorPortType11 /wls-wsat/ParticipantPortType /wls-wsat/ParticipantPortType11 /wls-wsat /RegistrationPortTypeRPC /wls-wsat/RegistrationPortTypeRPC11 /wls-wsat/RegistrationRequesterPortType /wls-wsat/RegistrationRequesterPortType1 对weblogic路由 http://xxx:7001/wls-wsat/CoordinatorPortType
5.4K11编辑于 2022-03-15 - 来自专栏HyperAI超神经
华中科技大学李松课题组,利用机器学习预测多孔材料水吸附等温线
估计出水吸附等温线后,提取 3 个参数:饱和吸附容量 (Wsat),等温线的阶跃位置 (α) 和亨利常数 (KH) ,输入 ML: I-P 模型。 使用描述符 (Wsat,α,KH) ,ML 模型可以快速获得 COPC 和 SCE,而不需要复杂的计算过程。 性能预测 等温线参数与性能的关系 根据 460 个吸附剂/水工质对的吸附等温线特征 (Wsat,α,KH),采用 ML 模型对 SCE 和 COPC 进行预测。 由下图 c 和 d 的相对重要性分析可见,Wsat 在确定 SCE 中占 46% 的重要性,KH 在确定 COPC 中占 58% 的重要性,这意味着 Wsat 和 SCE、KH 和 COPC 之间存在很强的相关性 RF 对 SCE 和 的预测值及相关性分析 从下图可以得知,当三个参数的范围为:Wsat = 0.2-0.8 g/g,α = 0.1-0.3,KH = 10-4 - 10-1 (mol/kg·Pa)
67110编辑于 2023-11-23
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号