xxxxbxxxxx

> 我观察以下 Chen Yi 于2020年6月1日周一 下午6:25写道： > […](#) > 脚本仅适配了12.1.3.0版本的weblogic，对12.2.1.3和12.2.1.4版本无效。 使用 Y4er 的 java 版exp([https://github.com/Y4er/CVE-2020-2883)，替换](https://github.com/Y4er/CVE-2020-2883)%EF%BC%8C%E6%9B%BF%E6%8D%A2) coherence.jar 为对应版本后可在上述三个版本中复现成功。 希望作者可以适配一下其它两个版本，如果能够根据版本自动选择对应的反序列化数据就更好了（Y4er的exp可以显示目标weblogic版本） — You are receiving this because you are subscribed to this thread....

之前写的 CVE-2020-2551 的方案可进行参考使用 ``` import cn.hutool.core.util.HexUtil; import cn.hutool.core.util.ReUtil; import com.r4v3zn.fofa.core.DO.FofaData; import com.r4v3zn.fofa.core.client.FofaClient; import org.jsoup.Jsoup; import org.jsoup.nodes.Document; import java.io.IOException; import java.io.InputStream; import java.io.OutputStream; import java.net.Socket; import java.util.ArrayList; import java.util.Arrays; import java.util.List;...

>  以前安装的可以用，但是最近在火狐和chrom上重新安装，无论什么站点，一直显示无数据 检查网络是否与fofa通

反向shell频发的发包或者发心跳包会被监测到，不如做变相版本的一句话+菜刀而且杀毒软件没法捕捉特征。

反向shell可以作为新的功能，后面的版本可能会考虑采用。

@all-contributors please add @anonymity3712 for bug

@all-contributors please add @TC130 for bug

@all-contributors please add @hackwuli for question

@all-contributors please add @hackwuli for question

@all-contributors please add @lxyevil for test