目录
Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)
Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501)
JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
JBoss 5.x/6.x 反序列化漏洞复现(CVE-2017-12149)
Weblogic反序列化漏洞
Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
这个漏洞利用工具是:java反序列终极化工具.jar
我们先启动靶机环境,访问:http://192.168.10.13:7001/