危害
繞過T3黑名單 ,復活ysoserial gadget利用
diff補丁
首先下載7月份補丁,與四月份對比,發現有以下不同之處
com.oracle.wls.shaded.org.apache.xalan.xsltc.trax
我們看一下這個類的代碼
從名字,還有代碼我們可以看出,其實這是一個黑名單繞過。但是不知道什么原因,這次才被添加到黑名單
利用
很簡單,我們以shiro反序列化來做例子
payload打過去,是無法利用得,原因如圖
很簡單,黑名單攔截了
黑名單如下
!org.codehaus.groovy.runtime.ConvertedClosure;!org.codehaus.groovy.runtime.ConversionHandler;!org.codehaus.groovy.runtime.MethodClosure;!org.springframework.transaction.support.AbstractPlatformTransactionManager;!java.rmi.server.UnicastRemoteObject;!java.rmi.server.RemoteObjectInvocationHandler;!com.bea.core.repackaged.springframework.transaction.support.AbstractPlatformTransactionManager;!java.rmi.server.RemoteObject;!org.apache.commons.collections.functors.*;!com.sun.org.apache.xalan.internal.xsltc.trax.*;!javassist.*;!java.rmi.activation.*;!sun.rmi.server.*;!org.jboss.interceptor.builder.*;!org.jboss.interceptor.reader.*;!org.jboss.interceptor.proxy.*;!org.jboss.interceptor.spi.metadata.*;!org.jboss.interceptor.spi.model.*;!com.bea.core.repackaged.springframework.aop.aspectj.*;!com.bea.core.repackaged.springframework.aop.aspectj.annotation.*;!com.bea.core.repackaged.springframework.aop.aspectj.autoproxy.*;!com.bea.core.repackaged.springframework.beans.factory.support.*;!org.python.core.*
而我們可以發現,這次黑名單的類,沒有在黑名單中出現,所以我們可以魔改一下ysoserial
成功繞過黑名單
后期有時間的話,可能會放出針對這次weblogic更新的利用工具
