Apache-Dubbo-CVE-2023-23638-exp
Apache Dubbo (CVE-2023-23638)漏洞利用的工程化实践,覆盖Dubbo 3.x 从服务发现到漏洞利用及回显的过程。本工具仅供研究和学习,欢迎各位师傅前来探讨和提出宝贵的建议。
工具说明
本工具支持CVE-2023-23638在Dubbo 3.x的完整利用,覆盖服务发现到漏洞利用及回显。在Dubbo 2.x版本也可以利用,需要自行传入服务名、方法名等。针对这个漏洞我写了两篇分析文章:
漏洞利用:https://xz.aliyun.com/t/12396
漏洞回显:https://forum.butian.net/share/2277 (平台审核中)
本工具仅作学习使用,未考虑诸多实战中的问题,例如:
漏洞利用:https://xz.aliyun.com/t/12396
漏洞回显:https://forum.butian.net/share/2277 (平台审核中)
本工具仅作学习使用,未考虑诸多实战中的问题,例如:
自定义服务名、方法名利用
字节码java编译的版本问题
非Dubbo协议支持
后续可能会继续更新。
感谢y4tacker师傅分享的fastjson原生反序列化思路
PART ONE
注入字节码截图说明
PART ONE
命令执行截图说明
项目地址:https://github.com/YYHYlh/Apache-Dubbo-CVE-2023-23638-exp
点它,分享点赞在看都在这里
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247497655&idx=1&sn=e06e9af9b4bd79470d2bf52480c50d69&chksm=9badbefcacda37eaa6e38c17eb61f0d246d47122c8f1323f16ad84366632a94db712a192a068#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh