CVE-2020-1948 apache dubbo Provider默認反序列化RCE

聲明:由于傳播、利用此文所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,文章作者不為此承擔任何責任。

參考鏈接

Apache Dubbo Provider默認反序列化RCE
Apache Dubbo Provider反序列化漏洞復現(xiàn)及分析

背景知識:大型企業(yè)通常在企業(yè)信息化建設中普遍系統(tǒng)會使用dubbo組件,并且結合阿里zookeeper(高富帥專用,聽說購買阿里來維護,價格昂貴)可實現(xiàn)對接口的重復利用。

如何探知是否使用dubbo?

對接口并發(fā)調(diào)用,導致無法提供服務,從而產(chǎn)生dubbo資源無法利用報錯,此處可使用burp intrude模塊進行探測


image.png

一次失敗的RCE


image.png

IDEA項目 apache dubbo demo項目


image.png
最后編輯于
?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容