Dubbo 3.x命令执行利用工具(CVE-2023-23638)

admin
admin
admin
81906
文章
71
评论
2023年6月4日23:04:31评论46 views字数 355阅读1分11秒阅读模式

工具说明

本工具支持CVE-2023-23638在Dubbo 3.x的完整利用,覆盖服务发现到漏洞利用及回显。在Dubbo 2.x版本也可以利用,需要自行传入服务名、方法名等。

针对这个漏洞我写了两篇分析文章:

  1. 漏洞利用:https://xz.aliyun.com/t/12396

  2. 漏洞回显:https://forum.butian.net/share/2277

本工具仅作学习使用,未考虑诸多实战中的问题,例如:

  1. 自定义服务名、方法名利用

  2. 字节码java编译的版本问题

工具截图

1. 注入节码

Dubbo 3.x命令执行利用工具(CVE-2023-23638)

2. 命令执行

Dubbo 3.x命令执行利用工具(CVE-2023-23638)

下载地址

https://github.com/YYHYlh/Apache-Dubbo-CVE-2023-23638-exp

原文始发于微信公众号(渗透安全团队):Dubbo 3.x命令执行利用工具(CVE-2023-23638)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月4日23:04:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Dubbo 3.x命令执行利用工具(CVE-2023-23638) http://cn-sec.com/archives/1783082.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: