0x00 漏洞原理与成因
腾讯TSRC: https://security.tencent.com/index.php/blog/msg/97
条件:
1. 存在反序列化对象数据传输。
2. 有缺陷的Apache Commons Collections
第三方库在lib路径中。
0x01 影响范围与数据统计
http://www.cert.org.cn/publish/main/9/2015/20151229124452251205640/20151229124452251205640_.html
0x03 发现目标
https://www.zoomeye.org/
https://www.shodan.io/
https://www.seebug.org/monster/
0x04 漏洞利用过程
payload生成工具ysoserial:
http://www.cdxy.me/java/jboss-vulnerability/
http://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/