1. 首页
  2. 渗透测试

CVE-2018-2628 weblogic漏洞验证

http://www.lengbaikai.net/?p=250

今早,朋友圈就刷爆了这个漏洞,但是目前只有POC验证脚本放出,后续有exp放出时,我会继续更新这篇博文。

0x01 综述

当地时间4月17日,北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),这个漏洞是我在去年11月份报给Oracle的,通过该漏洞,攻击者可以在未授权的情况下远程执行任意代码。

参考链接:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

漏洞影响范围

Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3

0x02 复现

目前流传比较广的是weblogic_poc.client1.for.scan-cve-2018-2628.py这个验证脚本,我们来开一个weblogic玩玩~
QQ截图20180418161358.png
OK打开正常,这里的版本是12c
QQ截图20180418162050.png

QQ截图20180418165521.png
这里只是验证存在漏洞,我会持续关注,待能执行命令的exp放出来之后我会接着更新。

原创文章,作者:Y4er,未经授权禁止转载!如若转载,请联系作者:Y4er

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论列表(1条)

  • 林哲 2018年4月19日 下午10:55

    来支持一下

联系我们

在线咨询:点击这里给我发消息

QR code