rmi 反序列化漏洞_[漏洞分析]CVE201917564/Apache Dubbo存在反序列化漏洞

最新推荐文章于 2024-05-14 19:09:02 发布
最新推荐文章于 2024-05-14 19:09:02 发布
阅读量229 收藏
点赞数
文章标签: rmi 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29284885/article/details/112435612
版权

漏洞描述

Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行.

CVE编号

CVE-2020-17564

漏洞威胁等级

高危

影响范围

2.7.0 <= Apache Dubbo <= 2.7.4.1
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo = 2.5.x

漏洞分析

  • 1.环境搭建

为了环境搭建方便,访问dubbo-samples的github项目主页(https://github.com/apache/dubbo-samples)

下载源码以后,分离出http部分

78dc02ade7e64c7207a8bbf0f28b5ce3.png

修改pom.xml中32行dubbo.version76b9c95067dd7b9535180e8c95876e65.png修改其为漏洞版本,以2.7.3为例,随后在Idea中开启即可

修改JDK版本为1.8

2e6b863b6347b7eab8896745cb22953b.png

随后导入一个可控的gadgets用于分析,例如commons-collections4-4.0,并启动HttpProvider

763d617604567140a7c552a6e8d4a6db.png

注:Dubbo启动依赖zookeeper,这部分使用不再赘述,请自行查阅google

  • 2.漏洞分析

我们进入

org.apache.dubbo.remoting.http.servlet.DispatcherServlet在43行handler.handle(request, response);处打入断点,利用burp进行发包跟踪它的走向

e2b47210c6f56d6132de61e2d46ecfc0.png

随后发现其进入org.apache.dubbo.rpc.protocol.http.HttpProtocol中的handle939448b55033e40375b77157eb8e7807.png

进一步跟踪

686f9c119b30d883b4f60b262a3e6546.png

最终进入org.springframework.remoting.rmi.RemoteInvocationSerializingExporter

5fda4e0b740857752cbf4a58b0831499.png

该ois对象来源为报文中post data部分,对于传入的ois并没有做任何安全过滤和检查,直接执行了readObject方法导致RCE产生.6c242b054383e1b5c5382c76b2439c2a.png

很多人不太理解Java反序列化漏洞怎么rce,这里给出一段示例代码

使用ysoserial随意生成一个序列化文件,再利用下面的代码读取该序列化文件即可达到效果,可见直接使用readObject方法的危害

import java.io.FileInputStream;import java.io.ObjectInputStream;public class test1 {    public test1() {    }    public static void main(String[] args) throws Exception {        FileInputStream fis = new FileInputStream("/Users/xue/Documents/NetSafe/Tools/JavaTools/1.ser");        ObjectInputStream ois = new ObjectInputStream(fis);        ois.readObject();    }}

漏洞验证

98595eff94abda16bbbb972baf7c911b.png

修复建议

升级Apache Dubbo到2.7.5版本

时间轴

[0] 2020/02/10 该漏洞披露邮件公开
[1] 2020/02/13 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞分析

Reference

https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html

奶茶余香
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Dubbo 反序列化漏洞(CVE-2020-1948)
m0_46689007的博客
11-29 682
使用marshalsec开启ldap时,如果ldap服务和http服务上有日志,但时恶意命令没有执行,可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码,如果ldap服务和http服务上有日志,但时恶意命令没有执行,将命令编码。看到ldap服务被访问,重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 2995
Apache Dubbo反序列化漏洞复现分析
rmi反序列化导致rce漏洞修复_[漏洞分析]CVE-2019-17564/Apache Dubbo存在反序列化漏洞...
weixin_39544333的博客
12-23 206
漏洞描述Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行.CVE编号CVE-2020-17564漏洞威胁等...
Java RMI反序列化总结篇-01
wfz2333的博客
05-14 1178
放一张seebug的图, 所以客户端要访问远程对象就由服务端首先把远程对象注册到注册表,然后客户端先访问注册表拿到远程对象的stub以后,此时就可以像访问本地一样调用远程对象方法,底层由stub再接受客户端的参数和方法,然后就是stub作为代理再帮客户端请求服务端,把参数和方法都发送到服务端,服务端接收到参数和方法后,在服务端进行执行,再把返回结果给客户端的stub,stub再给客户端,所以客户端实际上看不到底层的通信逻辑,这种架构设计已经屏蔽了底层通信。
漏洞预警】Apache Dubbo反序列化漏洞及修复方案
讯开技术孵化器博客
07-01 2650
漏洞描述 Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),官方发布2.7.7版本修复漏洞,但近日该漏洞补丁被绕过,经阿里云工程师测试绕过有效,且目前官方还未发布新版本,漏洞属0day级,风险极大。阿里云应急响应中心提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。 2020年6月29日,阿里云应急响应中心监测到Apache Du
Apache Dubbo 反序列化漏洞通告及解决方案
梁桂钊的博客
02-18 4273
点击上方“服务端思维”,选择“设为星标”回复”669“获取独家整理的精选资料集回复”加群“加入全国服务端高端社群「后端圈」作者 |安全客出品 |www.anquanke.com/...
[CVE-2020-1948] Apache Dubbo 反序列化漏洞分析
阿道夫的博客
12-17 533
Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Java安全之Dubbo反序列化漏洞分析
m0_65462541的博客
12-21 2190
0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。 0x01 Dubbo Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。dubbo 支持多种序列化方式并且序列化是和协议相对应的。比如:Dubbo支持dubbormi、hessian、http、webservice、thrift、redis等多种协议。 运行机制 Dubbo框架启动,容器Contai
Javaweb安全——Dubbo 反序列化(一)
weixin_43610673的博客
02-13 1420
Apache Dubbo 是一款 RPC 服务开发框架。智能容错和负载均衡,以及服务自动注册和发现。
通过CVE-2021-43297漏洞Apache Dubbo<=2.7.13下实现RCE
「 虚幻私塾」
01-21 1610
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录* 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 开启HttpServer 2.2 hessian2序列化过程简述 3 poc 4 总结 5 Dubbo<=2.7.13可用的POC
[CVE-2021-45105] Apache Log4j2 漏洞复现与原理详细分析
Specif1c的博客
08-10 1713
2021年12月9日,各大公司都被一个核弹级漏洞惊醒了,该漏洞一旦被攻击者利用就会造成及其严重的影响。该漏洞甚至被认为可能是“计算机历史上最大的漏洞”。
java反序列化漏洞-验证.rar
06-25
描述中提到的“java反序列化漏洞-验证jar”是一个Java可执行文件,很可能包含了一个用于测试目标系统是否存在反序列化漏洞的工具或者示例代码。这个JAR文件可能通过模拟恶意的序列化对象,尝试在目标系统上执行代码...
javaRMI反序列化漏洞验证工具
08-21
**Java RMI反序列化漏洞概述** Java RMI反序列化漏洞主要源于不正确的类型检查和信任机制。当接收到未经验证的远程调用时,如果服务器没有正确地校验或限制输入数据,攻击者可以通过构造恶意序列化数据来操控远程...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
JAVA反序列化漏洞知识点整理
01-20
 反序列化漏洞的本质是反序列化机制打破了数据和对象的边界,导致攻击者注入的恶意序列化数据在反序列化过程中被还原成对象,控制了对象可能在目标系统上面执行攻击代码,而不可信的输入和未检测反序列化对象的...
煎蛋.rar
最新发布
08-04
小程序的设计源码通常包含多个文件和文件夹,组织结构清晰,以便开发者能够快速上手并进行定制化开发。主要文件和文件夹包括: 页面文件夹:存放小程序的各个页面,每个页面通常由.wxml、.wxss、.js和.json文件组成。WXML文件负责页面的结构,类似于HTML;WXSS文件负责样式,类似于CSS;JS文件负责页面的逻辑和交互;JSON文件用于页面的配置,如导航栏标题等。 组件文件夹:存放可复用的UI组件。组件与页面类似,也由.wxml、.wxss、.js和.json文件组成。通过组件化设计,可以提高代码的复用性和维护性,减少重复工作。 静态资源文件夹:存放图片、音频、视频等静态资源,便于在小程序中引用。这些资源通常放在一个名为assets或static的文件夹中。 配置文件:小程序的根目录下通常有一个app.json文件,用于全局配置,如页面路径、导航栏样式、底部Tab栏等。此外,还有app.wxss和app.js文件,分别用于全局样式和全局逻辑。 工具文件夹:存放一些工具函数和库文件,便于在小程序中调用。这些文件通常放在一个名为utils的文件夹中。
DirectX修复工具,(DirectX Repair)是一款系统级工具软件, 简便易用 【修复完成后重启电脑】
08-04
安装包
下半年工作总结PPT模板.pptx
08-04
【作品名称】:述职报告,工作计划,工作总结,计划书,商务计划,转正报告 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
RMI反序列化漏洞分析与防御策略
在JDK 8u232之前的版本中,RMI Registry端存在反序列化漏洞,攻击者可以通过构造特定的序列化数据包来触发此漏洞。 文章首先讨论了JDK 8u232及以下版本的RMI Registry端反序列化问题。在这些版本中,RMI Registry在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值