https://github.com/sp4zcmd/WeblogicExploit-GUI

Weblogic漏洞利用图形化工具 支持注入内存马、一键上传webshell、命令执行
https://github.com/sp4zcmd/WeblogicExploit-GUI

Last synced: 21 days ago
JSON representation

Weblogic漏洞利用图形化工具 支持注入内存马、一键上传webshell、命令执行

• Host: GitHub
• URL: https://github.com/sp4zcmd/WeblogicExploit-GUI
• Owner: sp4zcmd
• Created: 2022-04-20T09:35:48.000Z (over 2 years ago)
• Default Branch: main
• Last Pushed: 2022-04-20T09:57:03.000Z (over 2 years ago)
• Last Synced: 2024-08-05T17:40:33.946Z (4 months ago)
• Size: 5.86 KB
• Stars: 690
• Watchers: 7
• Forks: 79
• Open Issues: 4
• Metadata Files:
  • Readme: README.md

Awesome Lists containing this project

• awesome-hacking-lists - sp4zcmd/WeblogicExploit-GUI - Weblogic漏洞利用图形化工具 支持注入内存马、一键上传webshell、命令执行 (Others)

README

        
# WeblogicExploit-GUI

支持利用漏洞类型：

- CVE-2020-2551

- CVE-2020-2555

- CVE-2020-2883

- CVE-2016-3510

- CVE-2016-0638

- CVE-2017-10271

- Jdk7u21

- CVE-2017-3248（JRMP）

- CVE-2018-2628（JRMP）

- CVE-2018-2893（JRMP）

- CVE-2018-3245（JRMP）

- CVE-2018-3181（JNDI）

- CVE-2020-14882未授权访问+CVE-2021-2109（JNDI）

![LsuXDA.png](https://s1.ax1x.com/2022/04/20/LsuXDA.png)

# 免责声明

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者不承担任何法律及连带责任。

# 注入内存马

原理：利用反序列化链式执行注入内存马代码，目前可以注入蚁剑CustomFilter和冰蝎Servlet

利用vulfocus环境测试

注入冰蝎内存马

![LsKS4f.gif](https://s1.ax1x.com/2022/04/20/LsKS4f.gif)

注入蚁剑内存马

![LsuzUP.gif](https://s1.ax1x.com/2022/04/20/LsuzUP.gif)

# 一键上传webshell

原理：利用反序列化链式执行代码，自动遍历目录并上传文件，目前可以上传哥斯拉和冰蝎马。

利用vulfocus环境测试

写入哥斯拉

![LsujHI.gif](https://s1.ax1x.com/2022/04/20/LsujHI.gif)

写入冰蝎

![LsuxEt.gif](https://s1.ax1x.com/2022/04/20/LsuxEt.gif)

# 命令执行

原理：

1. T3和IIOP类型漏洞通过绑定RMI实例实现命令执行

2. XMLDecoder类型漏洞通过从线程中获取response来进行回显

# JRMP

在VPS上启动JRMP服务，然后填入ip和端口即可

# JNDI

填入jndi注入的url，如

```

ldap://127.0.0.1:9999/object

```