Failure when receiving data from the peer ---------------------------------- RMI模式下的0x02 dubbo反序列化漏洞 ----------------------------------- 在本地设置dubbo服务,使用zookeeper作为注册中心,协议选择为:
打开RMI服务后,您将在dubbo控制台上看到服务信息:
使用RMI注册类执行ysoserial.jar提供的命令,其中cloudeye用于辅助测试:
关于RMI的反序列化实现,您可以查看区域上发布的帖子。如果你想了解这个原理,你可以看到绿盟的分析:http://**。**。**。**/java-deserialization-vulnerability- Overlooked-mass-destruction / Cloudeye收到了这样的消息:
-------------- 0x03小蛋 --------------- 在测试的过程中,发现了许多dubbo监控组件,并且Internet上有许多弱密码dubbo-admin(默认用户名/密码为root)。 两个小例子: **。**。**。**: 8090/governance/services/jackjboss/com.chsoft.shiro.facade.UserService/providers/615 Failure when receiving data from the peer