diff補丁

首先下載7月份補丁，與四月份對比，發現有以下不同之處

com.oracle.wls.shaded.org.apache.xalan.xsltc.trax

我們看一下這個類的程式碼

從名字，還有程式碼我們可以看出，其實這是一個黑名單繞過。但是不知道什麼原因，這次才被新增到黑名單

利用

很簡單，我們以shiro反序列化來做例子

payload打過去，是無法利用得，原因如圖

很簡單，黑名單攔截了

黑名單如下

!org.codehaus.groovy.runtime.ConvertedClosure;!org.codehaus.groovy.runtime.ConversionHandler;!org.codehaus.groovy.runtime.MethodClosure;!org.springframework.transaction.support.AbstractPlatformTransactionManager;!java.rmi.server.UnicastRemoteObject;!java.rmi.server.RemoteObjectInvocationHandler;!com.bea.core.repackaged.springframework.transaction.support.AbstractPlatformTransactionManager;!java.rmi.server.RemoteObject;!org.apache.commons.collections.functors.*;!com.sun.org.apache.xalan.internal.xsltc.trax.*;!javassist.*;!java.rmi.activation.*;!sun.rmi.server.*;!org.jboss.interceptor.builder.*;!org.jboss.interceptor.reader.*;!org.jboss.interceptor.proxy.*;!org.jboss.interceptor.spi.metadata.*;!org.jboss.interceptor.spi.model.*;!com.bea.core.repackaged.springframework.aop.aspectj.*;!com.bea.core.repackaged.springframework.aop.aspectj.annotation.*;!com.bea.core.repackaged.springframework.aop.aspectj.autoproxy.*;!com.bea.core.repackaged.springframework.beans.factory.support.*;!org.python.core.*

 

而我們可以發現，這次黑名單的類，沒有在黑名單中出現，所以我們可以魔改一下ysoserial

成功繞過黑名單

後期有時間的話，可能會放出針對這次weblogic更新的利用工具