1. 漏洞简介
   1. 漏洞描述

Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0版本中，WLS Security组件允许远程攻击者执行任意命令。攻击者通过向TCP端口7001发送T3协议流量，其中包含精心构造的序列化Java对象利用此漏洞。此漏洞影响到WLS Security Handler的文件oracle_common/modules/com.bea.core.apache.commons.collections.jar内一个未知的函数。

1. 1. 影响范围

Oracle WebLogic Server 12.2.1.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.1.2.0

Oracle WebLogic Server 10.3.6.0

1. 1. 漏洞原理

该漏洞的原理是org.apache.commons.collections组件存在潜在的远程代码执行漏洞，应用的是java的反序列化部分机制的问题。在Java反序列化中，对于传入的序列化数据没有进行安全性检查，将恶意的TransformedMap序列化，可能会导致远程命令执行。

1. 1. 环境搭建

可以利用vulhub中weblogic漏洞下的weak_password环境进行漏洞测试，其weblogic版本为10.3.6.0，存在目标漏洞

 

1. 漏洞验证

执行编写的脚本对weblogic环境进行检测

 

复现成功

1. 漏洞总结及防御方案

总结：

利用该漏洞，恶意攻击者可以构造攻击反序列化代码进行远程代码执行

防御方案：

weblogic修复补丁