免责申明

        本文仅是用于学习研究POC的地址收集与漏洞验证原理，请勿用在非法途径上，若将其用于非法目的，所造成的一切后果由您自行承担，产生的一切风险和后果与笔者无关；本文开始前请认真详细学习《‌中华人民共和国网络安全法》【学法时习之丨网络安全在身边一图了解网络安全法_中央网络安全和信息化委员会办公室】及其所在国家地区相关法规内容 如您继续阅读该文章即表明您默认遵守该内容。

一、问题描述

        当我们需要针对某个已经爆出的漏洞进行验证的时候，首先需要了解清楚这个漏洞的原理；然后我们在根据漏洞的特征去测试分析，如果符合漏洞特征那就表示成功；

        但是，如果我们需要针对一大批的资产进行验证该漏洞，如果只是靠手工去操作的话，那会十分的繁琐且枯燥，效率也不高；那有没有一种方法可以让我们不用手动一个个测试，能够很快得到结果？

二、问题分析

        1、已经有明确的漏洞，需要了解漏洞的原理和特征；

        2、获取需要验证的资产；

        3、对大批量的资产进行自动化验证漏洞（可使用Python编写POC）

三、实现方法

   比如我们需要对资产进行【CVE-2019-2725】编号的weblogic反序列化远程代码执行漏洞检测；

  3.1、了解CVE-2019-2725漏洞原理

Weblogic反序列化远程代码执行漏洞（CVE-2019-2725）分析报告-安全客 - 安全资讯平台安全客 - 安全资讯平台https://www.anquanke.com/post/id/177381Weblogic反序列化漏洞（CVE-2019-2725） - 终落 - 博客园Weblogic反序列化漏洞 0x00 漏洞描述 CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞，这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞，通过针对Oracle官网历年来的补丁构造pa