视频 | 从零开始weblogic的反序列化漏洞

  • A+
所属分类:安全文章

本文作者:TtssGkfMs08067实验室 SRSP TEAM小组成员)

视频 | 从零开始weblogic的反序列化漏洞

    DEFCON GROUP 86021是受全球性黑客大会DEFCON授权的官方社区,8月21日举办的上海极客沙龙上,TtssGkf代表MS08067安全实验室分享了《从零开始weblogic的反序列化漏洞》。

视频 | 从零开始weblogic的反序列化漏洞

 

    Weblogic反序列化漏洞是一个经典的漏洞系列,根源在于Weblogic(及其他很多java服务器应用)在通信过程中传输数据对象,涉及到序列化和反序列化操作,如果能找到某个类在反序列化过程中能执行某些奇怪的代码,就有可能通过控制这些代码达到RCE的效果。随着每次补丁的修复,很多Weblogic反序列化的思路都被封禁了,但是跟Struts2系列漏洞不同的是,Weblogic漏洞由于涉及的面比较广,所以近几年还是持续有新出漏洞的,这也体现了挖掘出新漏洞的高手们对java语言理解之深。目前在做渗透测试时,Weblogic漏洞用来攻击没打补丁的系统会比较有效。

  《从零开始weblogic的反序列化漏洞》的分享,带领大家了解weblogic的工作模式,明白漏洞原理,从而掌握调试weblogic反序列化漏洞的基本能力。从漏洞组件探究漏洞成因,最后思考漏洞利用方法,希望帮助大家构建出属于自己的POC,摆脱"脚本小子"的称号。



视频及PPT下载:

https://pan.baidu.com/s/1ZKYXdUty87gAs_TYylEbTw
提取码:vuau




视频 | 从零开始weblogic的反序列化漏洞

招新



srsp src小组是一个没有鄙视链的攻防研究小组,乐于分享以及一起熬夜研究,只要你love这样的学习气氛欢迎加入我们大家庭。

微信:cos2606596924





扫描下方二维码加入星球学习

加入后邀请进入内部微信群,内部微信群永久有效!

视频 | 从零开始weblogic的反序列化漏洞 视频 | 从零开始weblogic的反序列化漏洞

视频 | 从零开始weblogic的反序列化漏洞 视频 | 从零开始weblogic的反序列化漏洞 视频 | 从零开始weblogic的反序列化漏洞

目前30000+人已关注加入我们

视频 | 从零开始weblogic的反序列化漏洞

本文始发于微信公众号(Ms08067安全实验室):视频 | 从零开始weblogic的反序列化漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: