Java反序列化(之)Weblogic反序列化系列 CVE-2016-3510 分析


前言

之前也提到了​​CVE-2016-3510​​​,他也是针对于​​CVE-2015-4852​​​的黑名单绕过,其实具体的原理和​​CVE-2016-3608​是一样前端开发语言的

最好先java语言看看​​CVE-2016-3510​​

CVE-2016-3510

​CVE-2016-3后端开发是干什么的510​​​使用的绕过类是​​weblogic.corba.utils.MarshalledO赋值语句的格式bject​​,首先查看该类的构造方法

构造方法接收一个Object类型的参数var1,最后转为转为字节数赋值给​​this.objBytes​

继续查看​​readResolve​​方法,发现这里会直接还原为​​ObjectInputStream​​,然后调用其readObject方法。


                                            Java反序列化(之)Weblogic反序列化系列 CVE-2016-3510 分析

后端开发工程师个流程还是很简单的。