Apache Dubbo (CVE-2023-23638)漏洞利用的工程化实践

Apache-Dubbo-CVE-2023-23638-exp

Apache Dubbo (CVE-2023-23638)漏洞利用的工程化实践，覆盖Dubbo 3.x 从服务发现到漏洞利用及回显的过程。本工具仅供研究和学习，欢迎各位师傅前来探讨和提出宝贵的建议。

本工具支持CVE-2023-23638在Dubbo 3.x的完整利用，覆盖服务发现到漏洞利用及回显。在Dubbo 2.x版本也可以利用，需要自行传入服务名、方法名等。针对这个漏洞我写了两篇分析文章：

漏洞利用：https://xz.aliyun.com/t/12396

漏洞回显：https://forum.butian.net/share/2277 (平台审核中)

本工具仅作学习使用，未考虑诸多实战中的问题，例如：

1. 漏洞利用：https://xz.aliyun.com/t/12396
2. 漏洞回显：https://forum.butian.net/share/2277 (平台审核中)

本工具仅作学习使用，未考虑诸多实战中的问题，例如：

1. 自定义服务名、方法名利用
2. 字节码java编译的版本问题
3. 非Dubbo协议支持

后续可能会继续更新。

感谢y4tacker师傅分享的fastjson原生反序列化思路