Apache Dubbo 反序列化漏洞(CVE-2020-1948)

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量681 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: apache dubbo java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46689007/article/details/128106101
版权

Apache Dubbo 反序列化漏洞(CVE-2020-1948)

1. 环境搭建

1.1 docker靶场

docker pull dsolab/dubbo:cve-2020-1948

docker run -p 12345:12345 dsolab/dubbo:cve-2020-1948 -d

访问12345端口,搭建成功。

1.2 安装maven

官网下载

https://maven.apache.org/download.cgi


解压

解压后,进入apach-maven-3.8.6/conf中,新建资源库目录/m2/repository

cd apach-maven-3.8.6
cd conf
mkdir -p /m2/repository

将settings.xml内容全部删除,更改为

vim settings.xml

<?xml version="1.0" encoding="UTF-8"?>
 
<settings xmlns="http://maven.apache.org/SETTINGS/1.2.0"
          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:schemaLocation="http://maven.apache.org/SETTINGS/1.2.0 https://maven.apache.org/xsd/settings-1.2.0.xsd">
 
  <localRepository>/m2/repository</localRepository>
 
  <pluginGroups>

最低0.47元/天 解锁文章
iceberg-N
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Aapche Dubbo 序列漏洞复现(CVE-2019-17564)
0xSec
12-24 776
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。
Apache Dubbo序列漏洞复现分析
include_voidmain的博客
03-10 2994
Apache Dubbo序列漏洞复现分析
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1363
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
Apache Dubbo序列漏洞
YJ_12340的博客
05-24 858
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为,漏洞等级:高危。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo Hession序列漏洞CVE-2022-39198)
huofuman960209的博客
11-07 2148
Apache Dubbo组件存在Hession序列漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在序列漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危。
Apache Dubbo CVE-2020-1948 序列漏洞利用
weixin_46137328的博客
07-08 2043
0x00 漏洞背景2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为CVE-2020-1948,漏洞等级:高危。...
[CVE-2020-1948] Apache Dubbo 序列漏洞分析
阿道夫的博客
12-17 532
Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
关于Apache Dubbo序列漏洞CVE-2023-23638)的预警提示与对应的Zookeeper版本
u011236069的博客
06-27 1876
Apache官方发布安全公告,修复了Apache Dubbo中的一个序列漏洞CVE-2023-23638)。由于Apache Dubbo安全检查存在缺陷,导致可以绕过序列安全检查并执行序列攻击,成功利用该漏洞可在目标系统上执行任意代码。Apache Dubbo 2.7.x 版本:
CVE-2019-17564 Apache-Dubbo序列漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo序列漏洞
CVE-2019-17564 Apache Dubbo Http 序列漏洞深入分析 .pdf
09-05
在2019年,Apache Dubbo暴露了一个严重的安全漏洞,即CVE-2019-17564,这是一个Http序列漏洞。该漏洞发生在启用HTTP远程处理的Dubbo应用程序中,攻击者可以通过发送包含恶意Java对象的POST请求,导致不安全的...
[Timeline Sec] - CVE-2020-1948:Dubbo Provider默认序列复现1
08-03
Dubbo序列漏洞CVE-2020-1948详解】 Dubbo,由阿里巴巴开源,是一款高性能的服务框架,它使得应用可以通过RPC实现服务的输入和输出功能,并且能够与Spring框架无缝集成。然而,2020年,腾讯安全团队发现了一个...
dubbo-exp:Dubbo序列一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian序列和java原生序列
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责Dubbo序列测试工具使用帮助usage: java -jar exp.jar [OPTION]-h --help 帮助信息-l --list 输出所有gadget信息-g --gadget ...
dubbo CVE-2019-17564 CVE-2020-1948 漏洞复现
寒星的博客
06-02 2331
简介 Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。 CVE-2019-17564 漏洞简介 Apache Dubbo支持多种协议,官方默认为 Dubbo 协议,但是当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个序列的操作,由于没有任何安全校验,于是可以造成序列执行任意代码。 影响版本 2.7.0 <= Ap.
Apache2 Ubuntu Default Page 漏洞渗透
muyuchen110的博客
07-25 553
Apache2 Ubuntu Default Page 是一个包含xxe漏洞的页面,如何找到和利用xxe漏洞,并找到flag呢?靶机地址,可正常访问在kali中扫描靶机开放端口等信息nmap -PS 端口号。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 252
1.导入hutool的maven依赖。2.复制一下代码执行。
golang 接口
m0_70982551的博客
07-24 1010
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 98
1.导入hutool的maven依赖。2.直接复制一下代码运行。
CVE-2022-39198
08-09
CVE-2022-39198是影响Apache Dubbo的一个序列漏洞。该漏洞存在于Dubbo hessian-lite 3.2.12及之前的版本中。攻击者可以利用这个漏洞在目标系统上执行恶意代码。具体利用方法是通过序列操作,触发漏洞函数,从而执行恶意代码。 Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。10月18日,Apache发布安全公告,修复了影响Apache Dubbo多个版本的一个序列漏洞CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在序列漏洞,成功利用此漏洞可在目标系统上执行恶意代码。 0x02 影响范围。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值