dubbo中间件存在Java反序列化命令执行风险
漏洞标题 dubbo中间件存在Java反序列化命令执行风险 相关厂商 阿里巴巴 漏洞作者 隐形人真忙 提交时间 2016-03-23 19:13 公开时间 2016-06-26 19:00 漏洞类型 …
Failure when receiving data from the peer
----------------------------------
RMI模式下的0x02 dubbo反序列化漏洞
-----------------------------------
在本地设置dubbo服务,使用zookeeper作为注册中心,协议选择为:
打开RMI服务后,您将在dubbo控制台上看到服务信息:
使用RMI注册类执行ysoserial.jar提供的命令,其中cloudeye用于辅助测试:
关于RMI的反序列化实现,您可以查看区域上发布的帖子。如果你想了解这个原理,你可以看到绿盟的分析:http://**。**。**。**/java-deserialization-vulnerability- Overlooked-mass-destruction /
Cloudeye收到了这样的消息:
--------------
0x03小蛋
---------------
在测试的过程中,发现了许多dubbo监控组件,并且Internet上有许多弱密码dubbo-admin(默认用户名/密码为root)。
两个小例子:
**。**。**。**: 8090/governance/services/jackjboss/com.chsoft.shiro.facade.UserService/providers/615
Failure when receiving data from the peer
打开RMI服务后,您将在dubbo控制台上看到服务信息:
使用RMI注册类执行ysoserial.jar提供的命令,其中cloudeye用于辅助测试:
关于RMI的反序列化实现,您可以查看区域上发布的帖子。如果你想了解这个原理,你可以看到绿盟的分析:http://**。**。**。**/java-deserialization-vulnerability- Overlooked-mass-destruction /
Cloudeye收到了这样的消息:
--------------
0x03小蛋
---------------
在测试的过程中,发现了许多dubbo监控组件,并且Internet上有许多弱密码dubbo-admin(默认用户名/密码为root)。
两个小例子:
**。**。**。**: 8090/governance/services/jackjboss/com.chsoft.shiro.facade.UserService/providers/615
Failure when receiving data from the peer
- 发表于 2016-07-17 08:00
- 阅读 ( 527 )
- 分类:黑客技术
