weblogic反序列化漏洞测试与解决

阅读更多

通过该漏洞无需登录 只需要指定IP以及端口号 就可以往服务器写入文件。

可能产生异常：Unsupported major.minor version 51.0
JDK 编译环境不一致，解决：升级JDK

一、测试
java -jar Test.jar weblogic 192.168.0.11 7001 F:/a.txt
注：txt 文件直接生成在指定IP电脑内，需要下载一个测试JAR包

执行该操作后，如果该IP上的电脑生成a.txt文件，证明漏洞存在(此命令为window下操作，linux下修改文件路径，暂未测试)。

二、解决

找到
..\weblogic\Middleware\modules\com.bea.core.apache.commons.collections_3.2.0.jar

下载官方最新的collections.jar ，替换原来的jar包 ，重启应用服务