java.lang.ClassCastException:weblogic.xml.jaxp.RegistryDocumentBuilderFactory cannot be cast to javax.xml.parsers.DocumentBuilderFactory ================================ ©Copyright 蕃薯耀 2018年5月17日 https://www.cnblogs.com/fanshuyao/ 一.问题描述 weblogic10 整…
run: Exception in thread "main" java.lang.NoClassDefFoundError: weblogic/security/acl/UserInfo at weblogic.jndi.WLInitialContextFactory.getInitialContext(WLInitialContextFactory.java:) at javax.naming.spi.NamingManager.getInitialContext(NamingMa…
今天在部署WebLogic项目时,报了java.lang.ClassCastException: weblogic.xml.jaxp.RegistrySAXParserFactory cannot be cast to javax.xml.parsers.SAXParserFactory异常. 查询报错原因后,发现该异常是由Jar包冲突导致的. 大多数开发人员在本地使用Tomcat开发,而Tomcat中并没有此Jar包,需要添加JAR包xml-apis.jar:然鹅WebLogic却自带该Jar…
第一步:生成与JDK版本对应的weblogicjar,利用cmd 进入到weblogic_home 路径下进入到server/lib目录,然后运行  JDK  1.6 命令 "java -jar wljarbuilder.jar" ,会生成wlfullclient.jar : 第二步:建立一个JAVA工程,然后将上面生成的jar拷贝到你建立工程的classpath 下: 第三步:新建一个java类,命名为JndiTest,代码如下: package jdbc; import java.…
solution Step: 1.In the classpath tab, be sure to add the wlclient.jar file located here \wlserver_10.3\server\lib to the User Entries section 2.remove the WebLogic System Libraries from the Bootstrap Entries section.  If you forget to remove the Web…
Java安全之Weblogic 2016-0638分析 文章首发先知:Java安全之Weblogic 2016-0638分析 0x00 前言 续上篇文的初探weblogic的T3协议漏洞,再谈CVE-2016-0638, CVE-2016-0638是基于 CVE-2015-4852漏洞的一个绕过. Java安全之初探weblogic T3协议漏洞 0x01 环境搭建 补丁环境搭建 这里采用上次的weblogic环境,但是在这里还需要打一个补丁包,来修复 CVE-2015-4852漏洞后,对该漏洞…
Java安全之Weblogic 2016-3510 分析 首发安全客:Java安全之Weblogic 2016-3510 分析 0x00 前言 续前面两篇文章的T3漏洞分析文章,继续来分析CVE-2016-3510漏洞,该漏洞一样是基于,前面的补丁进行一个绕过. Java安全之初探weblogic T3协议漏洞 Java安全之Weblogic 2016-0638分析 0x01 工具分析 这里还需要拿出上次的weblogic_cmd的工具来看一下CVE-2016-3510的命令执行payload怎…
Java 安全之Weblogic 2017-3248分析 0x00 前言 在开头先来谈谈前面的绕过方式,前面的绕过方式分别使用了streamMessageImpl 和MarshalledObject对gadgets的对象进行封装起来.其实这本质上算是同一个方式,只是利用了不同的类对他进行封装,达成绕过效果. 但是在本次的这个绕过方式里面和前面这两个洞的绕过方式截然不同,找到一个未在黑名单之内的新反序列化点,此时可以发送未经处理的gadgets对象,通过JRMP 协议达到执行任意反序列化 payl…
Java 安全之Weblogic 2018-2628&2018-2893分析 0x00 前言 续上一个weblogic T3协议的反序列化漏洞接着分析该补丁的绕过方式,根据weblogic的补丁还是挺难找的,后面的分析中没有补丁看不到weblogic修复的细节,但是也不难猜处weblogic的这些修复都是老做法,使用黑名单的方式去进行修补漏洞. 0x01 补丁分析 由于没拿到补丁,这里从廖师傅文章里面扣除补丁的细节. protected Class<?> resolveProxyCla…
Java安全之Weblogic 2018-3248分析 0x00 前言 基于前面的分析,后面的还是主要看补丁的绕过方式,这里就来简单的记录一下. 0x01 补丁分析 先来看看补丁细节 private static final String[] DEFAULT_BLACKLIST_PACKAGES = { "org.apache.commons.collections.functors", "com.sun.org.apache.xalan.internal.xsltc.tra…