Dubbo 高危漏洞!原来都是反序列化惹得祸

最新推荐文章于 2024-08-11 00:15:00 发布
最新推荐文章于 2024-08-11 00:15:00 发布
阅读量1.1k 收藏 3
点赞数 2
分类专栏: Dubbo 文章标签: java 安全 Dubbo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014634309/article/details/107219614
版权
本文详细介绍了Apache Dubbo的反序列化漏洞,包括Java反序列化漏洞的基础知识、Common-Collections库中的风险以及如何利用这些漏洞执行恶意代码。通过实例展示了如何构造攻击链路,并讨论了Dubbo的修复措施和防护策略。提醒开发者关注官方修复版本,及时升级以避免安全风险。
摘要由CSDN通过智能技术生成

前言

这周收到外部合作同事推送的一篇文章,【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告

按照文章披露的漏洞影响范围,可以说是当前所有的 Dubbo 的版本都有这个问题。

无独有偶,这周在 Github 自己的仓库上推送几行改动,不一会就收到 Github 安全提示,警告当前项目存在安全漏洞CVE-2018-10237

可以看到这两个漏洞都是利用反序列化进行执行恶意代码,可能很多同学跟我当初一样,看到这个一脸懵逼。好端端的反序列化,怎么就能被恶意利用,用来执行的恶意代码?

这篇文章我们就来聊聊反序列化漏洞,了解一下黑客是如何利用这个漏洞进行攻击。

先赞后看,养成习惯!微信搜索『程序通事』,关注就完事了!

反序列化漏洞

在了解反序列化漏洞之前,首先我们学习一下两个基础知识。

Java 运行外部命令

Java 中有一个类 Runtime,我们可以使用这个类执行执行一些外部命令。

下面例子中我们使用 Runtime 运行打开系统的计算器软件。

// 仅适用macos 
Runtime.getRuntime().exec("open -a Calculator ");

有了这个类,恶意代码就可以执行外部命令,比如执行一把 rm /*

序列化/反序列化

如果经常使用 Dubbo,Java 序列化与反序列化应该不会陌生。

一个类通过实现 Serializable接口,我们就可以将其序列化成二进制数据,进而存储在文件中,或者使用网络传输。

其他程序可以通过网络接收,或者读取文件的方式,读取序列化的数据,然后对其进行反序列化,从而反向得到相应的类的实例。

下面的例子我们将 App 的对象进行序列化,然后将数据保存到的文件中。后续再从文件中读取序列化数据,对其进行反序列化得到 App 类的对象实例。

public class App implements Serializable {
   

    private String name;

    private static final long serialVersionUID = 7683681352462061434L;


    private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException {
   
        in.defaultReadObject();
        System.out.println("readObject name is "+name);
        Runtime.getRuntime().exec("open -a Calculator");
    }

    public static void main(String[] args) throws IOException, ClassNotFoundException {
   
        App app = new App();
        app.name = "程序通事";

        FileOutputStream fos = new FileOutputStream("test.payload");
        ObjectOutputStream os = new ObjectOutputStream(fos);
        //writeObject()方法将Unsafe对象写入object文件
        os.writeObject(app);
        os.close();
        //从文件中反序列化obj对象
        FileInputStream fis = new FileInputStream("test.payload");
        ObjectInputStream ois = new ObjectInputStream(fis);
        //恢复对象
        App objectFromDisk = (App)ois.readObject();
        System.out.println("main name is "+objectFromDisk.name);
        ois.close();
    }

执行结果:

readObject name is 程序通事
main name is 程序通事

并且成功打开了计算器程序。

当我们调用 ObjectInputStream#readObject读取反序列化的数据,如果对象内实现了 readObject方法,这个方法将会被调用。

源码如下:

反序列化漏洞执行条件

上面的例子中,我们在 readObject 方法内主动使用Runtime执行外部命令。但是正常的情况下,我们肯定不会在 readObject写上述代码,除非是内鬼 ̄□ ̄||

如果可以找到一个对象,他的readObject方法可以执行任意代码,那么在反序列过程也会执行对应的代码。我们只要将满足上述条件的对象序列化之后发送给先相应 Java 程序,Java 程序读取之后,进行反序列化,就会执行指定的代码。

为了使反序列化漏洞成功执行需要满足以下条件:

  1. Java 反序列化应用中需要存在序列化使用的类,不然反序列化时将会抛出 ClassNotFoundException 异常。
  2. Java 反序列化对象的 readObject方法可以执行任何代码,没有任何验证或者限制。

引用一段网上的反序列化攻击流程,来源:https://xz.aliyun.com/t/7031

  1. 客户端构造payload(有效
最低0.47元/天 解锁文章
楼下小黑哥
关注
专栏目录
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3784
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析我们知道了这个方法是用来获取数据体的一些信息用的,其一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 3074
Apache Dubbo反序列化漏洞复现分析
Dubbo通过Hessian反序列化对象失败解决
热门推荐
点滴
06-29 1万+
大伙使用dubbo的同学都知道,dubbo远程调用服务原理是通过序列化反序列化实现的,这里不多说了问题描述:有一次写dubbo接口,需要抛出自定义异常,该异常只有一个构造方法(只有一个参数,为自定义枚举类型),下面是构造方法详情 public RefundOrderException(RefundOrderExceptionCode code) { super(code....
Dubbo,Zookeeper,NSF,Druid,CouchDB未授权访问漏洞(附带修复方法)
最新发布
C233333235的博客
08-11 811
Dubbo是阿⾥巴巴公司开源的⼀个⾼性能优秀的 服务框架,使得应⽤可通过⾼性能的 RPC实现服务的输 出和输⼊功能,可以和 Spring框架⽆缝集成。dubbo 因配置不当导致未授权访问漏洞
Apache Dubbo CVE-2020-1948 反序列化漏洞利用
weixin_46137328的博客
07-08 2105
0x00 漏洞背景2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为CVE-2020-1948,漏洞等级:高危。...
生产dubbo漏洞问题修复
weixin_44939862的博客
02-01 1545
dubbo漏洞修复
Dubbo的xml实例注入解析
MCC_MCC_MCC的博客
08-10 1334
1.dubbo实现对xml配置文件解析主要有META-INF下的这三个配置文件,dubbo.xsd用于定义xml配置文件的格式;spring.handlers配置了xml的解析类;spring.schemas配置了xml域名上下文与xsd文件的对应关系 2.spring.handlers,com.alibaba.dubbo.config.spring.schema.DubboNamespac...
Dubbo 序列化
liyong1028826685的专栏
05-26 4969
前言 大家好,今天开始给大家分享 — Dubbo 专题之 Dubbo 序列化。在前一个章节我们介绍了 Dubbo 路由规则之标签路由,其实现原理为:如果消费端传递标签则和配置的动态规则和静态规则进行匹配,如果消费端未传递标签则使用服务提供端的本地配置的静态标签和动态配置标签进行匹配。同时我们也例举了常见的使用场景并且进行了源码解析来分析其实现原理。有的小伙伴可以想知道 Dubbo 远程调用数据传输是通过哪些方式进行数据的序列化呢?那么这个章节我们一起来讨论在我们的 Dubbo 有哪些序列化方式以及性能
源码分析Dubbo序列化-源码分析kryo序列化实现原理
2401_84048006的博客
04-22 1012
if (!// @6// @7代码@1:参数说明:Output output:输出流;Object object:待序列化的对象;代码@2:如果对象为空,写入Kryo.NULL(0),然后返回true,表示需要设置generic,后续会讲解一下generic(泛型支持)。代码@3:如果是基本类型,如果maybe(值可能为空),但该方法不为空,则设置为Kryo.NOT_NULL,然后返回false,表示非引用类型,需要持久化值。
Dubbo 序列化协议 5 连问,你接得住不.PDF
03-18
默认就是⾛ dubbo 协议,单⼀⻓连接,进⾏的是 NIO 异步通信,基于 hessian 作为序列化协议。使⽤的场景是:传输数据量⼩ (每次请求在 100kb 以内),但是并发量很⾼。 为了要⽀持⾼并发场景,⼀般是服务提供者就⼏...
Java反序列化(一) - Java反射机制
Morphy_Amo的博客
12-12 909
Java反序列化的基础知识之一,java反射机制的实践过程
java--CommomCollections1 入门学习--part2
zyer
05-07 392
上篇文章对Transformer有了一些基本的了解,学习了常用的构造payload的几个Transformer,但是对其利用可能还不是很了解,那么这篇文章就试着利用构造简单的payload。 我们最终要实现Runtime.getRuntime().exec(command),但反序列化漏洞的时候执行命令的方法一般都是反射执行,常用的反射执行方法: Class run = Runtime.class; Method method = run.getMethod("getRuntime"); Object
UnsupportedOperationException(不支持的操作异常)
Java开源程序猿
12-28 2908
(不支持的操作异常)通常表示在运行时试图调用对象的某个方法,但该方法在该对象上不受支持。这个异常通常发生在尝试修改不可变对象,或者在不支持某个操作的集合上执行该操作。时,确保理解发生异常的具体上下文,并根据情况选择适当的解决方法。这可能涉及到更改使用的数据结构,使用可修改的版本,或者使用支持修改操作的不同方法。上述代码不会修改原始列表,而是创建了一个新的Stream用于输出大写的字符串。
Dubbo存在内存泄漏
书唐瑞的博客
01-01 2202
Dubbo存在内存泄漏
CVE-2018-12613复现
0xdawn的博客
01-31 4637
0x00 漏洞描述 ​ 攻击者利用发现在服务器上包含(查看和潜在执行)文件的漏洞。该漏洞来自一部分代码,其页面在phpMyAdmin被重定向和加载,以及对白名单页面进行不正确的测试。 攻击者必须经过身份验证,但在这些情况下除外: $ cfg [‘AllowArbitraryServer’] = true:攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码; $ ...
注意,Dubbo 存在高危反序列化漏洞
Java知音
06-25 680
精彩推荐一百期Java面试题汇总SpringBoot内容聚合IntelliJ IDEA内容聚合Mybatis内容聚合以下内容转载自安全客,原文链接:https://www.anquank...
dubbo反序列化导致Timestamp丢失时分秒,怎么办
06-02
这个问题是由于dubbo默认使用了Hessian2进行序列化反序列化,而Hessian2对于java.sql.Timestamp类型的序列化存在问题,会导致反序列化后的对象Timestamp的时分秒丢失。解决这个问题的方法是使用其他的序列化方式...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值