发布时间:2022-10-06 15:30
前面,我们了解了java的序列化机制,也知道在什么情况下会出现漏洞,为了对反序列化漏洞有个更直观的认识,这里就来说一说存在于apache commons-collections.jar中的一条pop链,要知道这个类库使用广泛,所以很多大型的应用也存在着这个漏洞,我这里就以weblogic cve-2015-4852来说说反序列化漏洞的具体利用方法。
在复现分析cve-2015-4852的过程中,踩了挺多坑的,网上基本没有复现cve-2015-4852的,都是一句“没有任何防御措施,可以直接拿着ysoserial的payload打”.....但是我在复现的过程中发现Weblogic运行在jdk7与jdk8下是不一样的,在jdk8下有些ysoserial中的payload不能正常使用,例如CommonsCollections1,而且我复现的weblogic版本是weblogic 10.3.6,它使用的commons-collections版本为3.2.0,ysoserial中的很多payload都是3.1的,没有仔细去研究这个版本差异是不是导致反序列化失败的原因之一,只是顺带一提
复现环境:
weblogic 10.3.6
jdk 1.7