CVE-2020-1948 apache dubbo Provider默认反序列化RCE

声明：由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

背景知识：大型企业通常在企业信息化建设中普遍系统会使用dubbo组件，并且结合阿里zookeeper（高富帅专用，听说购买阿里来维护，价格昂贵）可实现对接口的重复利用。

对接口并发调用，导致无法提供服务，从而产生dubbo资源无法利用报错，此处可使用burp intrude模块进行探测

image.png

一次失败的RCE

image.png

IDEA项目 apache dubbo demo项目

image.png

最后编辑于：2021.03.23 22:54:38

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成，浏览时请结合常识与多方信息审慎甄别。
平台声明：文章内容（如有图片或视频亦包括在内）由作者上传并发布，文章内容仅代表作者本人观点，简书系信息发布平台，仅提供信息存储服务。

赞1赞

赞赏

手机看全文