声明:由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
参考链接
Apache Dubbo Provider默认反序列化RCE
Apache Dubbo Provider反序列化漏洞复现及分析
背景知识:大型企业通常在企业信息化建设中普遍系统会使用dubbo组件,并且结合阿里zookeeper(高富帅专用,听说购买阿里来维护,价格昂贵)可实现对接口的重复利用。
如何探知是否使用dubbo?
对接口并发调用,导致无法提供服务,从而产生dubbo资源无法利用报错,此处可使用burp intrude模块进行探测
image.png
一次失败的RCE
image.png
IDEA项目 apache dubbo demo项目
image.png
网友评论