★★免责声明★★ 文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与学习之用，读者将信息做其他用途，由Ta承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

序列化和反序列化本身并不存在问题，但当输入的反序列化的数据可被用户控制时，那么攻击者即可通过构造恶意输入，让反序列化产生非预期的对象，在此过程中执行构造的任意代码。

访问：http://your-ip:7001

404特征

访问/console/login/LoginForm.jsp路径来到后台管理

任意读取文件获取用户名密码，weblogic密码使用AES（老版本3DES）加密，对称加密可解密，只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下，名为SerializedSystemIni.dat和config.xml。在本环境中为./security/SerializedSystemIni.dat和./config/config.xml（基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain）。

在burp suite的HTTP history取一个GET请求记录右击send to Repeater，在请求URL修改为/hello/file.jsp?path=security/SerializedSystemIni.dat，点Send按钮发送请求，在响应页面会看到如下一段乱码

在响应端选择Hex标签，选择乱码的那部分右击选择Copy to file保存文件到自己指定的位置，文件名命名为SerializedSystemIni.dat。

同样的在burp suite的HTTP history取一个GET请求记录右击send to Repeater，在请求URL修改为/hello/file.jsp?path=config/config.xml，点Send按钮发送请求，在响应端找到节点node-manager-password-encrypted

使用weblogic破解GUI工具，使用命令运行

因此，得到用户名：weblogic，密码：Oracle@123。

使用任意文件读取获取到的账号密码登录成功。上传路径：域结构-部署-安装-上传文件-将此部署安装为应用程序。然后访问项目名称即可。

在自己本地创建一个文件，命名为shell.jsp。一句话木马如下，密码为 pass：

一句话木马来源参考：https://blog.csdn.net/cscscys/article/details/107856619

将其压缩为 shell.zip，然后重命名为 shell.war，选中war包并点击下一步上传。

war是一个可以直接运行的web模块，通常用于网站，打成包部署到容器中。 war包放置到web目录下之后，可以自动解压，就相当于发布了。

上传成功，一直点下一步，到最后一步点保存。

打开冰蝎使用命令运行

访问 http://your-ip:7001/shell/shell.jsp，密码在上面定义的是pass，使用冰蝎连接。

如果需要本文weblogic漏洞利用工具包，请关注公众号：大象只为你，后台回复：weblogic漏洞。