Dubbo(CVE-2023-23638)利用工具

luozhenni

   Dubbo(CVE-2023-23638)利用工具             

YYHYlh            Hack分享吧    2023-06-02 08:32 发表于日本  

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把Hack分享吧“设为星标”，否则可能看不到了！
工具说明
本工具支持CVE-2023-23638在Dubbo 3.x的完整利用，覆盖服务发现到漏洞利用及回显。在Dubbo 2.x版本也可以利用，需要自行传入服务名、方法名等。

针对这个漏洞我写了两篇分析文章：

• 漏洞利用：https://xz.aliyun.com/t/12396
• 漏洞回显：https://forum.butian.net/share/2277
  

本工具仅作学习使用，未考虑诸多实战中的问题，例如：

• 自定义服务名、方法名利用
• 字节码java编译的版本问题
  

工具截图1. 注入字节码

​

2. 命令执行

​

下载地址点击下方名片进入公众号回复关键字【230602】获取下载链接

---