前言
学习下Apache Dubbo系列的经典漏洞
CVE-2019-17564
0x01 影响版本
-
Dubbo 2.7.0 to 2.7.4
-
Dubbo 2.6.0 to 2.6.7
-
Dubbo all 2.5.x versions
0x02 环境准备
https://github.com/apache/dubbo-samples/tree/master/dubbo-samples-http下载源代码,在pom中切换dubbo版本,发现无法找到存在该漏洞的版本,手动下载jar包添加,并添加可利用依赖common-collections3.2
0x03 漏洞分析
在dubbo开启http协议后通过http协议的请求都会经过
org.apache.dubbo.rpc.protocol.http.HttpProtocol.InternalHandler#handle方法,所以在此处打断点
利用ysoserial生成payload
java -jar ysoserial.jar CommonsCollections6
"/System/Applications/Calculator.app/Contents/MacOS/Calculator">cc6
然后发送
curl http://127.0.0.1:8081/org.apache.dubbo.samples.http.api.DemoService --data-binary @cc6
会发现断在我们的断点处,向下跟踪
170行会根据我们传入的路径寻找处理器,我们看看this.skeletonMap的值
key对应着请求路径,value是一个HttpInvokerServiceExporter类的实例;接着在177行使用获取到的处理器处理请求,调用的是
org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter#handleRequest
接着会将请求发送到
org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter#readRemoteInvocation(javax.servlet.http.HttpS