rmi 反序列化漏洞_Dubbo反序列化漏洞复现分析(二)

最新推荐文章于 2023-08-03 09:46:25 发布
最新推荐文章于 2023-08-03 09:46:25 发布
阅读量145 收藏
点赞数
文章标签: rmi 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30480281/article/details/112438822
版权

604993d97d1e49639373fdebeae8b765.png

成功弹出计算机

c0a396c08449f1f564baa86ed5c161c0.png

5.漏洞分析

我们从idea里的报错栈可以看到入口应该是javax.servlet.http.HttpServlet.service

9ac64cfd63dae74bb6536cc53fc1fe24.png

我们在this.service处下个断点

73eb19418a0bcd7132cd5aca67366fab.png

我们用postman发个包,然后跟进去,发现它会用handler函数处理request,response

93af37ca21db0670d131075971a75d9f.png

随后发现其进入org.apache.dubbo.rpc.protocol.heep.HttpProtocol中的handle

5d429a68d294ecefc94da7e691c0880a.png

当跟进去后handleRequest,F8后发现直接弹出了计算机,所以可以判断漏洞出发点就在红框中,因此选择跟进

9ce9cc2540b50f29ee66d37eff49337c.png

42e5c2ac3512d3f0b32c6b149239aae7.png

继续进一步跟踪,最后在

org.springframework.remoting.rmi.RemoteInvocationSerializingExporter的

doReadRemoteInvocation发现了反序列化入口 

该ois对象来源为报文中post data部分,对于传入的ois并没有做任何安全检查,直接就执行read0bjec方法导致REC产生。

43828437c1591dbec194a1b177ddc77d.png

6.坑点

我一开始发包是采用burp进行发包的,但是一直没有达成效果。

f714ea9ae075853f098addea609e8625.png

就连错误栈里都没看到commonsollection4的执行调用。

d99053c8497251ad69a6a74a44e74901.png

我当时打开断点判断时,发现会进入read0bject的,但是就是没成功。

b951dda83594bb5d9436eb999f8f119c.png

我估计是因为编码问题吧,直接从payload.ser文件中粘贴序列化代码,导致代码发生了变化,所以传进去后反序列化就不行了。

参考链接

https://zhzhdoai.github.io/2020/08/26/Dubbo%E5%8E%86%E5%8F%B2%E6%BC%8F%E6%B4%9 E%E4%B9%8BCVE-2019-17564/

https://www.cnblogs.com/wh4am1/p/12307848.html

fasc chen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java-rmi-registry反序列化漏洞复现
0xSec
12-25 1611
java.rmi.registry是java语言的一个包
Jmeter RMI 反序列化命令执行漏洞复现
Tauil的博客
08-02 814
针对目标主机地址及端口的RMI Registry建立远程连接(RMI—使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol)进行通信),连接成功后提交执行用户选择的 payload。可以看到,环境开启后将启动RMI服务并监听1099端口,我们只需要使用ysoserial.exploit.RMIRegistryExploit即可执行任意命令。靶场:vulhub—jmeter/CVE-2018-1297/根据输入命令转化为对应序列化内容,然后将消息发送。...
fastjson jar包_Fastjson<=1.2.47反序列化RCE漏洞(CNVD201922238)
weixin_39677104的博客
11-28 167
Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238)一、漏洞描述Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@typ...
rmi反序列化导致rce漏洞修复_RMI反序列化漏洞分析
weixin_39710249的博客
12-23 459
RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即JavaRMI(JavaRemote MethodInvocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能简化远程接口对象的使用。JavaRMI极大地依...
Java当中更改源码/修复CVE-2016-1000027漏洞分析
山路曲折盘旋,但毕竟朝着顶峰延伸
08-03 5264
以spring-web这个包为例.本质上来说就是创建一个和HttpInvokerServiceExporter.class内容相同的HttpInvokerServiceExporter.java的文件,然后在handleRequest中去除那段多余的代码,然后将HttpInvokerServiceExporter.java文件生成一个新的.class文件,然后将新的.class文件替换到原来的spring-web的原jar包中;​ 漏洞版本:spring-web
javaRMI反序列化漏洞验证工具
08-21
**Java RMI反序列化漏洞概述** Java RMI反序列化漏洞主要源于不正确的类型检查和信任机制。当接收到未经验证的远程调用时,如果服务器没有正确地校验或限制输入数据,攻击者可以通过构造恶意序列化数据来操控远程...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
java反序列化漏洞-验证.rar
06-25
压缩包内的“attackRMI.jar”可能是用来模拟远程方法调用(RMI)场景的,因为RMI是Java反序列化漏洞的常见利用场景之一。RMI允许远程对象像本地对象一样被调用,但如果没有正确处理反序列化的对象,就可能成为攻击的...
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。  JAVA反序列化漏洞  反序列化漏洞的...
rmi反序列化导致rce漏洞修复_[漏洞分析]CVE-2019-17564/Apache Dubbo存在反序列化漏洞...
weixin_39544333的博客
12-23 205
漏洞描述Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行.CVE编号CVE-2020-17564漏洞威胁等...
Java安全之Dubbo反序列化漏洞分析
m0_65462541的博客
12-21 2188
0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。 0x01 Dubbo Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。dubbo 支持多种序列化方式并且序列化是和协议相对应的。比如:Dubbo支持dubbormi、hessian、http、webservice、thrift、redis等多种协议。 运行机制 Dubbo框架启动,容器Contai
rmi 反序列化漏洞_[漏洞分析]CVE201917564/Apache Dubbo存在反序列化漏洞
weixin_29284885的博客
01-07 227
漏洞描述Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行.CVE编号CVE-2020-17564...
rmi 反序列化漏洞_CVE201917564 Apache Dubbo 反序列化漏洞安全通告
weixin_36277690的博客
01-07 255
【背景】2020年2月10号,Apache Dubbo反序列化漏洞(CVE-2019-17564)被公布,使用 Dubbo-Rpc-Http (2.7.3 or lower) 和Spring-Web (5.1.9.RELEASE or lower)的版本可被利用。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容...
Spring技术内幕——深入解析Spring架构与设计原理(五)Spring与远端调用
jiwenke的专栏
11-16 166
在应用开发中,常常涉及服务器系统中各种不同进程之间的通信与计算交互,远端调用(RMI)是实现这种计算场景的一种有效方式。此外,还存在着另一种情况,在这种应用场景中,与那些典型的基于HTML的B/S应用不同,客户端程序需要完成对服务器端应用的直接调用,这也是需要远端调用大显身手的场合。 Spring中提供了轻量级的远端调用模块,从而为我们在上面提到的应用场景开发,提供平台支持。根据Spring...
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
热门推荐
跳小闹成长记
02-22 1万+
目录 一、前言 、序列化与反序列化简介 三、反序列化怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
从零开始实现RPC框架 - RPC原理及实现
xcbeyond|疯狂源自梦想,技术成就辉煌
05-29 371
RPC概述RPC(Remote Procedure Call)即远程过程调用,允许一台计算机调用另一台计算机上的程序得到结果,而代码中不需要做额外的编程,就像在本地调用一...
Spring HttpInvoker & EOFException
fantasy10o10o的专栏
11-12 1886
<br /> <br />配置完服务端Spring HttpInvoker后(Tomcat中),使用Web Browser访问资源地址收到如下错误:<br /> <br />  图1<br /> <br /> <br />图1中的java.io.EOFException是因为我是使用浏览器直接访问HttpInvokerServiceExporter,此时没有传递任何有意义的参数,但是HttpInvokerServer仍然已假设正确的方式读取。<br /> <br />分析图1中出现的异常情况后,接下来便配
RMI反序列化漏洞 修复
最新发布
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java的反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化漏洞,需要进行以下步骤: 1. 升级Java版本:在较新版本的Java中,已经修复了一些反序列化漏洞,因此升级Java版本是一种简单有效的修复方法。 2. 序列化对象过滤:过滤掉不受信任的序列化对象,只反序列化可信任的对象,这样可以有效减少攻击面。 3. 自定义序列化/反序列化机制:使用自定义的序列化/反序列化机制,不使用Java默认的序列化/反序列化机制,可以避免一些常见的反序列化漏洞。 4. 对于不必要的远程方法调用接口,可以禁用或者限制远程方法调用。 5. 增强代码审计:对于可能存在RMI反序列化漏洞的代码,进行仔细审计和测试,以及使用一些工具来帮助检测潜在的漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值