视频 | 从零开始weblogic的反序列化漏洞

本文作者：TtssGkf（Ms08067实验室 SRSP TEAM小组成员）

Weblogic反序列化漏洞是一个经典的漏洞系列，根源在于Weblogic（及其他很多java服务器应用）在通信过程中传输数据对象，涉及到序列化和反序列化操作，如果能找到某个类在反序列化过程中能执行某些奇怪的代码，就有可能通过控制这些代码达到RCE的效果。随着每次补丁的修复，很多Weblogic反序列化的思路都被封禁了，但是跟Struts2系列漏洞不同的是，Weblogic漏洞由于涉及的面比较广，所以近几年还是持续有新出漏洞的，这也体现了挖掘出新漏洞的高手们对java语言理解之深。目前在做渗透测试时，Weblogic漏洞用来攻击没打补丁的系统会比较有效。

《从零开始weblogic的反序列化漏洞》的分享，带领大家了解weblogic的工作模式，明白漏洞原理，从而掌握调试weblogic反序列化漏洞的基本能力。从漏洞组件探究漏洞成因，最后思考漏洞利用方法，希望帮助大家构建出属于自己的POC，摆脱"脚本小子"的称号。

https://v.qq.com/x/page/q314077lk4c.html

视频及PPT下载：

https://pan.baidu.com/s/1ZKYXdUty87gAs_TYylEbTw 提取码：vuau