weblogic

作者：Sp4rr0vv@ 白帽汇安全研究院 核对：r4v3zn@ 白帽汇安全研究院 本文为作者投稿，Seebug Paper 期待你的分享，凡经采用即有礼品相送！ 投稿邮箱：paper@seebug.org 概述 2020 年 7 月 15 日，Oracle 发布大量安全修复补丁，其中 CVE-2020-14644 漏洞被评分为 9.8 分，影响版本为 12.2.1.3.0、12.2.1.4.0, 14.1.1.0.0 。本文基于互联网公开的 POC 进行复现、分析，最终实现无任何限制的 defineClass + 实例化，进行实现 RCE。 前置知识 JDK 的 ClassLoader 类中有个方法是 defindClass ，可以根据类全限定名和类的字节数组，加载一个类到 jvm 中并返回对应的 Class 对象（随带一提，这种加载类的方式不会执行类初始化）。 所以只要参数 name （类名）和 b （类文件的二进制数据）可控，理论上我们可以加载任何类，需要注意的一点是，这个类名 name 一定要和这个类字节数组 b 中对于的类名一致才行，不然就是一个 NoClassDefFoundError 复现 环境 - Weblogic 12.2.1.4.0 - jdk 1.8.0_112 - Windows 10 首先准备一个带包名的恶意类，在构造函数中写入恶意代码 package

都是使用tail -f catalina.out命令来查看的，不要太顺手； 今天登陆到公司另外一个Team 的服务器上，发现装的是weblogic，手痒想看看weblogic怎么看日志，找了老半天，才发现有一个nohup.out文件，还有一些.log文件； so,查看后台日志（像eclipse的后台一样，动态显示）： tail -f nohup.out 想看历史的N行log信息（1000行）： tail -1000 nohup.out (同样适用于.log文件的查询) 来源： oschina 链接： https://my.oschina.net/u/4290246/blog/4300065

一、背景概述 针对网站的Web***是互联网安全面临的主要威胁，为隐藏身份、逃避追踪，在对目标网站发起***时，***往往会采用多种手段隐藏自己的身份，如：使用(动态)代理、虚拟专用网络等。***者的这些手段很好的隐藏了自身信息，增加了安全人员追踪溯源的难度。 虽然针对Web***的防御技术、溯源技术也在不断发展之中，如: IDS、WAF、基于日志/流量溯源等，但这些技术往往处于被动防御的状态、或溯源信息不足，难以应对复杂多变的***手段。 问题一：***流量被隐藏在大量的合法流量中，不易被发现和识别。尽管IDS、WAF功能强大，但依然存在漏报或误报的可能，而且也存在因其自身漏洞或规则不完善而被绕过的可能。 问题二：即使识别***后，可基于IP黑名单机制阻断***源，但如果***者切换了出口IP，如何在新的***发起之前有效识别***行为，也是目前IDS、WAF等安全产品所不具备的功能。 问题三：假如***者在***过程中使用了(动态)代理、虚拟专用网络等手段，则传统的基于Web日志、基于网络流量的追踪技术，并不能有效的定位***者的身份或位置。 二、本文目的 图1 研究目标 为弥补传统安全防御技术的不足，为网络犯罪溯源取证提供依据，基于主动防御的思想，本文提出了一种基于网络欺骗和浏览器指纹的溯源技术方案，旨在有效识别网络***行为、定位***者身份或位置

Java基础知识学习 1.java的诞生 首先，说起Java的诞生我们先聊一聊C语言和C++。 C语言诞生于1972年，它是一门面向过程的结构化语言，主要的特点有以下三点： 贴近硬件，运行速度快，效率很高 主要应用有操作系统，编译器，数据库，网络系统等等 指针和内存管理等等 C++诞生于1982年，它兼容了C面向过程的特点，同时也具有面向对象的特点，其有以下几点： 面向对象 同时兼容C的特性 主要应用于图形领域和制作游戏等等 说完了C/C++的语言特点，可能学过的同学应该知道，C语言的指针还是比较难学的，还有其内存管理也是比较复杂。那么有没有一种语言能够避免这些问题呢？ 这就是我们Java的诞生，Java的特点有：语法有点像C，没有指针和内存管理，可移植性强， 编写一次，到处运行 (write once,run everywhere),面向对象，类型安全，有大量的类库等等。Java的特性和优势，主要有简单性，面向对象，高性能，分布式，动态性，多线程，安全性，健壮性等等。 那么Java主要有一下三个版本，Java SE(标准版)，Java ME(移动版)，Java EE(企业版) 随着Java的不断发展，也诞生了不少工具，比如说有以下几类： 构建工具：Ant ，Maven，Jekins 应用服务器：Tomcat，Jetty ， Websphere，Weblogic Web开发

作者：answerboy @知道创宇404积极防御实验室 时间：2020年8月5日 1 概述 近日知道创宇404积极防御团队通过知道创宇云防御安全大数据平台（GAC）监测到大量利用Struts2、ThinkPHP等多个Web组件漏洞进行的组合攻击，并捕获到相关样本，经分析确认该样本为Bulehero蠕虫病毒。目前该Web攻击均被创宇盾拦截；知道创宇NDR流量监测系统也已经支持检测所有相关恶意IOC及流量。 2 追溯分析 2.1 发现攻击 2020年7月26日，通过日志分析发现IP： 47.92.*.* （北京）、 119.23.*.* （广东）、 117.89.*.* （南京）等多个IP对客户网站发起Web漏洞攻击，通过远程下载并执行恶意文件Download.exe，如下： ThinkphpV5进行攻击： Tomcat PUT方式任意文件文件上传： Struts2远程命令执行： 经过分析，发现Download.exe为下载器，执行流程如下： 图1-执行流程 2.2 详细分析 2.2.1 Download.exe Download.exe作为下载器，攻击成功之后会继续前往 http://UeR.ReiyKiQ.ir/AdPopBlocker.exe 下载AdPopBlocker.exe到系统TEMP目录并创建名为Uvwxya和fmrgsebls的计划任务来实现自启动，如下： 图2

一、什么是Weblogic WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于Java EE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 要学习Weblogic，首先需要了解什么是分布式系统和J2EE标准。在一个分布式系统中，一组独立的计算机展现给用户的是一个统一的整体，就好像是一个系统似的。系统拥有多种通用的物理和逻辑资源，可以动态的分配任务，分散的物理和逻辑资源通过计算机网络实现信息交换。系统中存在一个以全局的方式管理计算机资源的分布式操作系统。通常，对用户来说，分布式系统只有一个模型或范型。在操作系统之上有一层软件中间件（middleware）负责实现这个模型。一个著名的分布式系统的例子是万维网（World Wide Web），在万维网中，所有的一切看起来就好像是一个文档（Web页面）一样。 要实现应用系统的分布式，就需要遵循硬件标准和软件标准。这里我们重点讨论软件标准，即：J2EE标准。下图为大家展示了Java EE标准和Weblogic直接的关系。 二、什么是域和域的组成 WebLogic Server中的域是逻辑上相关的一组

由于今年疫情的影响，今天知道了2020年的HW行动在下周一（8月17日）并且时间居然加长了，延长到两个月，估计各位朋友都在准备了吧。届时观看红蓝两房的精彩演绎。 随着《网络安全法》和《等级保护制度条例2.0》的颁布，国内企业的网络安全建设需与时俱进，要更加注重业务场景的安全性并合理部署网络安全硬件产品，严防死守“网络安全”底线。“HW行动”大幕开启，国联易安誓为政府、企事业单位网络安全护航！ 云计算、移动互联网、大数据、物联网等新技术的持续演进，网络安全形势变得尤为复杂严峻。网络攻击“道高一尺，魔高一丈”，网络安全问题层出不穷，给政府、企事业单位带来风险威胁级别升高，挑战前所未有。 “HW行动”是国家应对网络安全问题所做的重要布局之一。加强网络安全意识，是所有单位有序地完成“HW行动”必不可少的一项基础和必须做扎实的工作。 目前灰产、黑产环境比较复杂，很多攻击手段已经向云和SaaS服务方面发展，暗网已经存在专业提供RaaS（勒索即服务）的服务模式，另外很多勒索攻击软件已经开源，易用性得到了极大的提高，同时也大大降低了网络攻击的技术门槛。 HW行动要“立足基础 靠前一步 全面开展” 为切实履行公安机关网络安全监管职责，提高重点单位网络安全防护意识，提升关键信息基础设施、重要信息系统防护水平。近日，多个省、直辖市、自治区的公安部门按照突出重点、分类检查的原则

1、性能测试包含了哪些软件测试（至少举出3种）？ 参考答案：负载测试;压力测试;容量测试; 负载测试（Load Testing） ：负载测试是一种主要为了测试软件系统是否达到需求文档设计的目标，譬如软件在一定时期内，最大支持多少并发用户数，软件请求出错率等，测试的主要是软件系统的性能。 压力测试（Stress Testing） ：强度测试也就是压力测试，压力测试主要是为了测试硬件系统是否达到需求文档设计的性能目标，譬如在一定时期内，系统的cpu利用率，内存使用率，磁盘I/O吞吐率，网络吞吐量等，压力测试和负载测试最大的差别在于测试目的不同。 容量测试（Volume Testing） ：确定系统最大承受量，譬如系统最大用户数，最大存储量，最多处理的数据流量等。 或者在下面选择几项：并发测试；基准测试 ；争用测试；性能配置 ；负载测试；强度测试；容量测试 2、请问什么是性能测试、负载测试、压力测试？ 性能测试是通过自动化的测试工具模拟多种正常、峰值以及异常负载条件来对系统的各项性能指标进行测试。负载测试、压力测试参考答案如上题。 3、在给定的测试环境下进行，考虑被测系统的业务压力量和典型场景？ 负载测试是用来测定系统饱和状态、确定阀值。其特点有：这种方法的目的是找到系统处理能力的极限；通过“检测、加压、阀值”手段找到如“响应时间不超过10秒”，“平均CPU利用率低于65%”等指标。

首先确定环境已装apache2.4，没装的话可以看下这篇文章 apache2.4一键脚本安装（linux环境） 1.下载apache分发模块mod_wl_24.so 下载apache2.4的weblogic分发模块 mod_wl_24.so 链接： https://pan.baidu.com/s/1c2zxrAK （linux 64位版本，csdn都是要c币的，我也是花钱买的~~o(>_<)o ~~，都不容易，真的需要的话留邮箱我免费发你提取码） 将下载好的mod_wl_24.so上传至apache的安装目录 /usr/local/apache2/modules 2.apache中的weblogic集群配置 进入apache的配置文件（安装的时候我这里指定了配置文件的存放目录 sysconfdir=/etc/httpd24，后续补充我一键安装apache的脚本） # vi /etc/httpd24/httpd.conf 去掉下面5行语句之前的#号： #LoadModule proxy_module modules/mod_proxy.so #LoadModule proxy_connect_module modules/mod_proxy_connect.so #LoadModule proxy_http_module modules/mod_proxy_http.so