Vulhub靶场Dubbo Java反序列化漏洞复现

免责声明：本文仅用于技术交流和知识分享目的。漏洞复现涉及到系统和网络的安全性测试，可能导致系统崩溃、数据丢失或其他问题。读者在尝试漏洞复现之前必须获得合法授权，并自行承担一切风险和责任。

漏洞描述：

Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。Dubbo可以使用不同协议通信，当使用http协议时，Apache Dubbo直接使用了Spring框架的`org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter`类做远程调用，而这个过程会读取POST请求的Body并进行反序列化，最终导致漏洞。

漏洞影响版本：

>=Apache Dubbo 2.7.4

漏洞复现版本：

Apache Dubbo 2.7.3

复现过程：

1：使用vulhub中靶场启动环境