从Tomcat迁移到Weblogic12.1.3时，我遇到了这个异常javax.naming.namenotfoundexceptionwhiletryingtolookup然后我尝试了以下内容:NameNotFoundException:Whiletryingtolookup'jdbc'onlywhenpublishingfromEclipseKeplerbutnotIndigo和HowtoaccessJNDIdatasourcedefinedinweblogic10.3.6我现在得到标题错误我的查找代码ds=(DataSource)initContext.lookup("MyDB"

我们有一个当前在WebLogic10.3.5.0上运行的应用程序，我们正在迁移到WL12.1.2.0.0。我们遇到了对另一个应用程序的Un-marshallingWS调用的问题。我们熟悉升级时的Marshalling错误，但似乎这个问题并不相同。需要注意的是，它在相同WL版本的DEV/Test服务器上运行良好，但在本地部署时会返回以下错误(一定是env/configuration设置不匹配？):JAXBunmarshallingexception:null;nestedexceptionisjavax.xml.bind.UnmarshalException-withlinkedexce

我们目前在WebLogic12.1.2上运行。在这种环境下，我们的应用程序运行良好。我们现在想要的是将我们的应用程序认证到WebLogic12.1.3环境。但是我们使用的Web服务面临一个问题。在新版本中，服务器抛出异常，提示“未找到默认配置文件[metro-default.xml]”。我试图在这个文件中找到一些东西，但什么也没有。PS:我们不使用Metro，我们使用WebLogic默认的JAX-WS堆栈。并将应用程序部署为WAR文件。这里是异常的堆栈java.lang.IllegalStateException:MASM0001:Defaultconfigurationfile[me

1.报错内容triedtoaccessmethodorg.bouncycastle.math.ec.ECPoint$Fp.(Lorg/bouncycastle/math/ec/ECCurve;Lorg/bouncycastle/math/ec/ECFieldElement;Lorg/bouncycastle/math/ec/ECFieldElement;)VfromclassSM2Utils.SM2at......2.分析         我的SpringBoot项目中，依赖bcprov-jdk15on-1.59版本jar包，本地编译运行都是没问题的，发布到weblogic服务器后，调用加解密

使用idea对jar包远程调试：打开一个springboot的项目进行远程调试设置：运行：其实我不太明白远程调试的意义，本地直接debug不好嘛。。。点击debug的按钮，打断点测试：跑到断点处：远程debug即对远程部署的内容进行debug，例如我们部署的项目在线上出现问题了，而我们又不知道具体是哪里出现问题，我们就可以使用远程debug进行排查问题。这里在idea中使用的是localhost，如果我使用的是其他的ip地址，再用其他ip地址下的jar包启动，那么当我访问远程ip下的程序时，此时本地用jar包进行的断点就会生效。就实现了远程debug。总结好像感觉远程调试的用处也不是那么大，不

文章仅供学习交流，一些漏洞没能复现出来（菜就多练），日后来兴趣再补坑（大概~）视频链接： 【小迪安全】红蓝对抗|网络攻防|V2022全栈培训_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV1pQ4y1s7kH目录一、知识点1、中间件-Weblogic-CVE2、中间件-JBoos-CVE3、中间件-Jenkins-CVE4、中间件-GlassFish-CVE二、章节内容1、常见中间件的安全测试2、中间件安全测试流程3、应用服务安全测试流程三、案例演示1、中间件-Weblogic-CVE&反序列化&远程执行（1） CVE-2017-3506 远程代码

内容目录Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)weblogic中间件CVE-2018-2628漏洞描述影响版本漏洞复现修复方案CVE-2023-21839漏洞描述影响版本漏洞复现修复方案Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)weblogic中间件WebLogic是美国Oracle公司出品的一个applicationserver，用于本地和云端开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。WebLogicServer是一个基于JAVAEE架构的中间件，将Ja

CloudWeblogic远程代码执行漏洞（CVE-2023-21839)复现漏洞概述OracleWebLogicServer是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。OracleWebLogicServer12.2.1.3.0,12.2.1.4.0和14.1.1.0.0存在安全漏洞，攻击者可利用该漏洞导致对关键数据的未授权访问或对所有OracleWebLogicServer可访问数据的完全访问。影响范围:OracleWeblogicServer12.2.1.3.

前言@frohoff在2015年初发现commons-collections的反序列化利用链并发布了ysoserial工具[1]。9个月后，@breenmachine对众多知名Java中间件的利用文章[2]使Java反序列化漏洞变得广为人知，Weblogic中首当其冲的就是大家多少都有点耳熟的T3协议反序列化。本篇从CVE-2015-4852入手了解T3协议的构造，作为后续T3反序列化漏洞学习和利用的基础。环境搭建与补丁定位Weblogic官网提供无补丁的初始版本下载[3]，为了方便后续调试分析可以先把几个大版本的安装包（Generic）、以及某些有较大安全特性变化的JDK准备好。官方只为付费

本篇介绍coherence.jar中的漏洞利用链及后续绕过。经历2015到2018的3年迭代后，Weblogic的黑名单逐渐完善，废掉CC反序列化更是釜底抽薪。另一方面也促使研究员去挖掘新组件新利用链，这篇介绍的就是@testbnull在发现Spring写文件链后[1]，继续挖掘出coherence.jar中的漏洞利用链及后续绕过。因为10.3.6默认没有启用coherence，我们用12.2.1.3作为调试环境。CVE-2020-2555CC链的核心是InvokerTransformer#transform方法对Method.invoke的调用，Weblogic几百个lib中有没有类CC链呢