本文作者:TtssGkf(Ms08067实验室 SRSP TEAM小组成员)
Weblogic反序列化漏洞是一个经典的漏洞系列,根源在于Weblogic(及其他很多java服务器应用)在通信过程中传输数据对象,涉及到序列化和反序列化操作,如果能找到某个类在反序列化过程中能执行某些奇怪的代码,就有可能通过控制这些代码达到RCE的效果。随着每次补丁的修复,很多Weblogic反序列化的思路都被封禁了,但是跟Struts2系列漏洞不同的是,Weblogic漏洞由于涉及的面比较广,所以近几年还是持续有新出漏洞的,这也体现了挖掘出新漏洞的高手们对java语言理解之深。目前在做渗透测试时,Weblogic漏洞用来攻击没打补丁的系统会比较有效。
《从零开始weblogic的反序列化漏洞》的分享,带领大家了解weblogic的工作模式,明白漏洞原理,从而掌握调试weblogic反序列化漏洞的基本能力。从漏洞组件探究漏洞成因,最后思考漏洞利用方法,希望帮助大家构建出属于自己的POC,摆脱"脚本小子"的称号。
https://v.qq.com/x/page/q314077lk4c.html
视频及PPT下载:
https://pan.baidu.com/s/1ZKYXdUty87gAs_TYylEbTw 提取码:vuau
本文分享自 Ms08067安全实验室 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!