Dubbo 3.x命令执行利用工具(CVE-2023-23638)

2023年6月4日23:04:31评论84 views字数 355阅读1分11秒阅读模式

工具说明

本工具支持CVE-2023-23638在Dubbo 3.x的完整利用，覆盖服务发现到漏洞利用及回显。在Dubbo 2.x版本也可以利用，需要自行传入服务名、方法名等。

针对这个漏洞我写了两篇分析文章：

漏洞利用：https://xz.aliyun.com/t/12396
漏洞回显：https://forum.butian.net/share/2277

本工具仅作学习使用，未考虑诸多实战中的问题，例如：

自定义服务名、方法名利用
字节码java编译的版本问题

工具截图

1. 注入字节码

Dubbo 3.x命令执行利用工具(CVE-2023-23638)

2. 命令执行

Dubbo 3.x命令执行利用工具(CVE-2023-23638)

下载地址

https://github.com/YYHYlh/Apache-Dubbo-CVE-2023-23638-exp

原文始发于微信公众号（渗透安全团队）：Dubbo 3.x命令执行利用工具(CVE-2023-23638)

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Windows远控工具：Quasar使用

渗透测试工具包 | 开源安全测试工具 | 网络安全工具

Nessus扫描参数的详细设置指南

spring框架渗透测试工具 SBSCAN

补档，关于 Yakit 插件 SQLmap 一把梭

【免杀工具】红队魔法书-LSASS转储

[红队]ENScan_GO：基于各大企业信息API的信息收集工具

敏感信息挖掘 | Yakit规则配置内容！

文件上传安全测试工具 Upload_Super_Fuzz_Gui

工具 | SSRF_Detector

本文由 admin 发表于 2023年6月4日23:04:31
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
Dubbo 3.x命令执行利用工具(CVE-2023-23638)https://cn-sec.com/archives/1783082.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

目录

在线咨询

13688888888

8888 QQ在线咨询

微信
本页二维码