L0ki
Home
Archives
About
Portfolio
Tags
Encountered Dubbo Deserialization Vulnerability in Practice
2024-04-21 02:28:49
#Vulnerabilities
Hey, password is required here.
Prev
2024-04-21 02:28:49
#Vulnerabilities
Next
Contents
前言
0x01 Dubbo反序列化
01 漏洞简述
02 影响范围
03 漏洞复现
03.1 环境搭建
03.2 构造反序列化
03.3 攻击原理
04 漏洞详情
04.1 描述
04.2 补丁分析
04.3 时间线
04.4 漏洞代码分析
04.5 具体分析
04.5.1 Java 反射机制
04.5.2 代码跟进
05 漏洞修复
06 缓解措施
07 小结
0x02 JNDI注入
概述
原理
RMI+JNDI poc验证
LDAP + JNDI poc验证
绕过JDK 8u191+等高版本限制
0x03 实战
复现
官网本地复现方法
poc
总结
