工具说明
针对这个漏洞我写了两篇分析文章:
-
漏洞利用:https://xz.aliyun.com/t/12396
-
漏洞回显:https://forum.butian.net/share/2277
本工具仅作学习使用,未考虑诸多实战中的问题,例如:
-
自定义服务名、方法名利用 -
字节码java编译的版本问题
工具截图
1. 注入字节码
2. 命令执行
下载地址
原文始发于微信公众号(渗透安全团队):Dubbo 3.x命令执行利用工具(CVE-2023-23638)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论