Dubbo 3.x命令执行利用工具(CVE-2023-23638)

admin
admin
admin
100797
文章
86
评论
2023年6月4日23:04:31评论63 views字数 355阅读1分11秒阅读模式

工具说明

本工具支持CVE-2023-23638在Dubbo 3.x的完整利用,覆盖服务发现到漏洞利用及回显。在Dubbo 2.x版本也可以利用,需要自行传入服务名、方法名等。

针对这个漏洞我写了两篇分析文章:

  1. 漏洞利用:https://xz.aliyun.com/t/12396

  2. 漏洞回显:https://forum.butian.net/share/2277

本工具仅作学习使用,未考虑诸多实战中的问题,例如:

  1. 自定义服务名、方法名利用

  2. 字节码java编译的版本问题

工具截图

1. 注入节码

Dubbo 3.x命令执行利用工具(CVE-2023-23638)

2. 命令执行

Dubbo 3.x命令执行利用工具(CVE-2023-23638)

下载地址

https://github.com/YYHYlh/Apache-Dubbo-CVE-2023-23638-exp

原文始发于微信公众号(渗透安全团队):Dubbo 3.x命令执行利用工具(CVE-2023-23638)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月4日23:04:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Dubbo 3.x命令执行利用工具(CVE-2023-23638)http://cn-sec.com/archives/1783082.html

发表评论

匿名网友 填写信息