Oracle WebLogic Server Java反序列化漏洞CVE-2018-2628 阅读： 16Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的远程代码执行漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行任意代码。绿盟科技专家迅速响应，第一时间制定解决方案，并提供绿盟网络入侵防护系统（NIPS）和绿盟下一代防火墙系统（NF）最新升级包下载预警编号：NS-2018-0015关注级别：红，此漏洞利用简单，可直接获取系统控制权限，存在被攻击者挖矿利用的可能性文章目录 WebLogic漏洞概述北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的远程代码执行漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行任意代码。CVSS 评分：9.8，CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H此漏洞产生于Weblogic T3服务，所有开放Weblogic控制台端口的应用，均会默认开启T3服务，因此会造成较大范围的影响。根据绿盟态势感知平台查询的结果，在全球范围内对互联网开放Weblogic服务的资产数量多达19,229，其中归属中国地区的受影响资产数量为1,787。 WebLogic漏洞影响范围 受...

主机放在防火墙后面内网中，安装有oracle数据库，主机也没法上外网，所以下载好相关软件包后，再执行安装。#:  yum install pam-devel 安装相关依赖包，这里不再说了。#：   wget ftp://ftp2.eu.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.6p1.tar.gz#：  tar zxvf openssh-7.6p1.tar.gz #：  cd openssh-7.6p1#：  ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-ssl --with-md5-passwords#：  make安装软件包之前，需要先备份/etc/ssh，将此目录重命令。#：  make install#：  cp contrib/redhat/sshd.init /etc/init.d/sshd最后修改配置文件/etc/ssh/sshd_config，并添加启动服务，重启服务。#    $OpenBSD: sshd_config,v 1.101 2017/03/14 07:19:07 djm Exp $# This is the sshd server system-wide configuration file.  See# sshd_config(5) for more information.# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin# The strategy used for options in the default sshd_config shipped with# OpenSSH is to specify options with th...

1.简介 CVE-2017-10271是weblogic wls-wsat组件的一个xml反序列化漏洞，可造成远程命令执行。更详细分析可见参考链接，本文强调在进行参考链接修复中的一些细节。   2.影响版本 OracleWebLogic Server10.3.6.0.0OracleWebLogic Server12.1.3.0.0OracleWebLogic Server12.2.1.1.0OracleWebLogic Server12.2.1.2.0 打了B25A及其之前版本的补丁都没用，需要打2017年10月的补丁（FMJJ）   3.处理办法 3.1临时处理办法 删除wls-wsat组件，然后重启weblogic（weblogic安装路径和domain名等根据自己实际情况修改） rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat cd /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/bin ./stopWebLogic.sh ./startWebLogic.sh & 说明： 1....

点劫持（Clickjacking: X-Frame-Options header missing）（低危）修复建议：配置web server使之包含一个X-Fame-Options头。解决方法：1>  首先查看是否已编译mod_headers.c模块    # /usr/local/apache2/bin/apachectl -l2>  如果没有，首先编译mod_headers.c模块      # cd /root/httpd-2.2.31/modules/metadata/      # /usr/local/apache2/bin/apxs -i -a -c -n headers mod_headers.c      --用apxs工具添加模块 3> 修改配置文件      # vim /usr/local/apache2/conf/httpd.conf      添加如下内容：<IFModule mod_headers.c> Header always append X-Frame-Options SAMEORIGIN </IFModule>4> 重启httpd服务。     # /usr/local/apache2/bin/apachectl restart

大体调查下是weblogic对外提供了uddi方式的服务，而攻击者借用这一个对外公布服务进行的攻击。 关于oracle产品 uddi漏洞，看了篇文章http://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html说oracle发布了对应的更新包CPU = Critical Patch Update 更新包 http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html可以根据oralce官方提供的文档，进行修复。最终我采用下面方法进行解决（如果你的应用没有使用uddiexplorer服务，你可以按照我下面方式来搞）/app/bea/weblogic92/server/lib/uddiexplorer.war，使用RAR打开后，注释掉下图的对应jsp，再进行打包，替换之前的/app/bea/weblogic92/server/lib/uddiexplorer.war发现通过http://ip:port/uddiexplorer/SearchPublicRegistries.jsp 访问页面，无法找到，报404错误。 上面方法改的是weblogic92/server/lib公共部分，改后，应该适用weblogic下面建的所有域。

                              WebLogic CVE-2017-10271漏洞修复教程     近日，腾讯云安全中心监测到近期黑客利用WebLogic反序列化漏洞（CVE-2017-3248）以及WebLogic WLS 组件漏洞（CVE-2017-10271）对企业服务器发起大范围远程攻击，已有部分客户被挖矿程序watch-smartd所利用，攻击者可利用该漏洞在WebLogic服务器/tmp/目录安装植入watch-smartd程序，在后台运行极大消耗服务器CPU和内存资源。        为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。【漏洞详情】  此次攻击者所利用的漏洞中，CVE-2017-12071是Oracle WebLogic中WLS 组件的最新的远程代码执行漏洞，官方在 2017 年 10 月份发布了该漏洞的补丁，由于没有公开细节，大量企业尚未及时安装补丁，导致被控制用户量逐渐增加，该漏洞的利用方法较为简单，攻击者只需要发送精心构造的 HTTP 请求，就可以拿到...

WebLogic 反序列化漏洞，CVE-2017-3248成功绕过之前的官方修复漏洞描述2017年1月27日，WebLogic官方发布了一个编号为CVEID: CVE-2017-3248 的漏洞，影响为Critical。之前轰动一时的反序列化漏洞，官方当时的修补措施，在本漏洞中可被绕过。此次漏洞影响WebLogic版本如下图所示：漏洞分析与验证分析之前WebLogic漏洞CVE-2015-4852的补丁，发现WebLogic采用黑名单的方式过滤危险的反序列化类，如下图所示：但是这种修复方式很被动，存在被绕过的风险，只要发现可用并且未在黑名单之外的反序列化类，那么之前的防护就会被打破，系统遭受攻击。这次发布的CVE-2017-3248 就是利用了黑名单之外的反序列化类，通过JRMP协议达到执行任意反序列化payload。（Java远程消息交换协议JRMP即Java Remote MessagingProtocol，是特定于Java技术的、用于查找和引用远程对象的协议。这是运行在Java远程方法调用RMI之下、TCP/IP之上的线路层协议。）启明星辰 ADLab 通过对本漏洞的深度分析，构造了对应的POC并测试验证成功，具体验证情况如下：测试环境：WebLogicServer 10.3.6.0.160719 ，已经打了“Patch 23094342”补丁。测试过程：使用自制漏洞利用工具对测试系统进行漏洞利用测试。第一步：...

您所在的组无权查看该日志

Host to Host IPsec Tunnel With Libreswan On CentOS 7.2 This is a guide on setting up a Host to Host IPsec tunnel between two CentOS 7.2 hosts. We will be using Libreswan as the implementation of IPsec. Libreswan is available in CentOS 7.2 in the default package repositories.Before you get started you are going to need two CentOS 7.2 servers, I am using KVM virtual servers in this example, you can use either real metal or a KVM virtual server. I have not tried this on other hypervisors, but I would be interested to hear if you have success using anything other than KVM.One of my virtual servers will be hosted on Digital Ocean and the other is running on a HP Microserver in my office. The IPsec tunnel will be initiated from the virtual server running on the HP Microserver as this is behind a NAT. Essentially the local virtual server will be a road warrior in this instance.Installing and Configuring libreswanLogin to each of your virtual machines and install Libreswan, you...

How to configure an IPSec Tunnel in CentOSInstall ipsec-tools packageyum -y install ipsec-toolsConfiguring an IPSec Tunnel on CentOS is fairly straightforward.In the example, we’ll tunnel between fictitious servers with public addresses in Boston and Seattle. For Boston we’ll use ipsecbos.centoshowtos.org – 216.52.2.41 and for Seattle ipsecsea.centoshowtos.org – 141.136.108.122.Create ifcfg-ipsec1 Configuration Files and keys-ipsec1Configuration files for the IPSec tunnel live alongside your CentOS network device files in /etc/sysconfig/network-scripts/. We will also need to create a keys file keys-ipsec1 which contains the Pre-shared key (PSK) that should match on both ends to establish the tunnel.ipsecbos.centoshowtos.orgCreate an ifcfg-ipsec1 file.vi /etc/sysconfig/network-scripts/ifcfg-ipsec1The file should look like this (except your IPs will be different)DST=141.136.108.122TYPE=IPSECONBOOT=noIKE_METHOD=PSKCreate keys-ipsec1 file.vi /etc/sys...