Exploit for Deserialization of Untrusted Data in Apache Dubbo exploit

1 year ago 116
BOOK THIS SPACE FOR AD
ARTICLE AD

Share

## https://sploitus.com/exploit?id=CB519D25-F337-5F97-9D72-18DE9E966954 # Apache-Dubbo-CVE-2023-23638-exp Apache Dubbo (CVE-2023-23638)漏洞利用的工程化实践,覆盖Dubbo 3.x 从服务发现到漏洞利用及回显的过程。本工具仅供研究和学习,欢迎各位师傅前来探讨和提出宝贵的建议。 # 工具说明 本工具支持CVE-2023-23638在Dubbo 3.x的完整利用,覆盖服务发现到漏洞利用及回显。在Dubbo 2.x版本也可以利用,需要自行传入服务名、方法名等。针对这个漏洞我写了两篇分析文章: 1. 漏洞利用:https://xz.aliyun.com/t/12396 2. 漏洞回显:https://forum.butian.net/share/2277 (平台审核中) 本工具仅作学习使用,未考虑诸多实战中的问题,例如: 1. 自定义服务名、方法名利用 2. 字节码java编译的版本问题 3. 非Dubbo协议支持 后续可能会继续更新。 感谢y4tacker师傅分享的fastjson原生反序列化思路 # 工具截图 1. 注入字节码 ![image](https://github.com/YYHYlh/Apache-Dubbo-CVE-2023-23638-exp/assets/28374935/206484ec-0c35-45c2-bdff-7bdcb09131fe) 2. 命令执行 ![image](https://github.com/YYHYlh/Apache-Dubbo-CVE-2023-23638-exp/assets/28374935/e3ec448f-2bb4-4560-8420-d2a2a49ff14f) # 免责声明 本工具仅漏洞研究和学习,如您需要测试本工具的可用性,请自行搭建靶机环境。 在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标进行扫描。 如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。 # 参考文档 1. https://y4tacker.github.io/2023/03/20/year/2023/3/FastJson%E4%B8%8E%E5%8E%9F%E7%94%9F%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96/ 2. https://y4tacker.github.io/2023/04/26/year/2023/4/FastJson%E4%B8%8E%E5%8E%9F%E7%94%9F%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96-%E4%BA%8C/
Read Entire Article