仅供学习研究
ZooKeeper 自备
测试环境为 Java 8, 其它版本尚未测试, 不保证可用性
复现时需要为 DemoComsumer 添加 VM 参数: -Ddubbo.hessian.allowNonSerializable=true, 详情参考 https://su18.org/post/hessian/#serializable
分析文章: https://exp10it.io/2023/03/apache-dubbo-cve-2023-23638-%E5%88%86%E6%9E%90/
POC 的本质是利用某个 class 修改 properties 以绕过限制, 代码给的是 JNDI 注入, 可以参考 CVE-2023-23638 Apache Dubbo JavaNative反序列化漏洞分析 自行修改成反序列化的利用方式