weblogic Java反序列化漏洞测试和解决

1、测试

Java -jar CommonsCollectionsTools.jar weblogic 192.168.0.11 7001 F:/a.txt

执行该操做后，若是该IP上的电脑生成a.txt文件，证实漏洞存在(此命令为window下操做，linux下修改文件路径，暂未测试)。

 

测试jar下载地址：http://download.csdn.net/detail/gongzi2311/9434503

2、解决

一、  替换java包解决应用层面问题。方法是使用官方提供的4.4.1 版本commons-collections4-4.1.jar包替换应用lib目录下的commons-collections.jar，再重启应用。

二、解决中间件层面问题。

方法一：升级weblogic补丁包，升级weblogic 10.3.6.12的补丁包p22248372_1036012_Generic.zip，直接安装补丁便可，但不支持10.3.6.12以前的版本，若是是老版本，先升级到 10.3.6.12再打补丁，或要用方法二。  

方法二：删除特定文件。 找到..\weblogic\Middleware\modules\com.bea.core.apache.commons.collections_3.2.0.jar 并打开，jar 包 内 org/apache/commons/collections/functors/InvokerTransformer.class文件，不要直接解压缩后打开再从新包，这样会有问题。要直接用压缩工具软件打开后直接删除。特别注意若是集群环境，要所有停掉再执行此操做才有效，不然会被缓存的文件覆盖回原始包。