Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤

ysoserial-0.0.6-SNAPSHOT-all.jar；

这个会员管理器是在VS2012下用MFC写成的，核心部分知识点为序列化和反序列化，界面应该布局还算合理吧，额。。代码量挺多的，里边包含了许多的知识点（比如多种控件的使用，属性页的使用等），对于MFC新手的学习是个不错的资源

使用注意： 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版，请尽量按照正常思路来用，比如Url填写清楚，IP地址写对了，报错或者抛异常神马的别怪我，调输入校验好蛋疼。 本工具与网上已公布工具优点： 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能，利用的是jboss的热部署功能，直接部署一个war包，一键返回一个菜刀shell 3. 反弹shell部分更完美，不再加载远程war包，直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制，本地（4.2.3.GA）测试成功，其他版本请自测 5. 体积更小，不再依赖java环境，但程序采用.net编写，需要.net 4.0环境 待完成： weblogic回显结果测试中，稍后加入

好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本

Java反序列化终极测试工具

console 页面探测 & 弱口令扫描、uuid页面的SSRF、CVE-2017-10271 wls-wsat页面的反序列化、CVE-2018-2628 反序列化等功能。

使用注意： 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版，请尽量按照正常思路来用，比如Url填写清楚，IP地址写对了，报错或者抛异常神马的别怪我，调输入校验好蛋疼。 本工具与网上已公布工具优点： 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能，利用的是jboss的热部署功能，直接部署一个war包，一键返回一个菜刀shell 3. 反弹shell部分更完美，不再加载远程war包，直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制，本地（4.2.3.GA）测试成功，其他版本请自测 5. 体积更小，不再依赖java环境，但程序采用.net编写，需要.net 4.0环境 待完成： weblogic回显结果测试中，稍后加入

在p27395085_1036_Generic补丁的基础上再打上27453773_1036_Gener，解决CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2018-2628

Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞，这个是weblogic12.1.3.0 版本的补丁包，有需要的可以下载