rmi反序列化导致rce漏洞修复_烽火狼烟丨Apache Dubbo反序列化漏洞(CVE201917564)漏洞分析...

最新推荐文章于 2024-05-24 17:17:52 发布
最新推荐文章于 2024-05-24 17:17:52 发布
阅读量312 收藏
点赞数
文章标签: rmi反序列化导致rce漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31414515/article/details/112435619
版权

点击上方“盛邦安全WebRAY”可以订阅

漏洞描述

Apache Dubbo是一款高性能、轻量级的开源java Rpc分布式服务框架。Dubbo提供面向接口的远程过程调用、集群容错和负载均衡、服务自动注册与发现这三大主要功能。(Apache Dubbo详细介绍:http://dubbo.apache.org/en-us/index.html)

b04d0b22f8a975e1eed6b66bc27462df.png

当Apache Dubbo启用HTTP协议之后,攻击者提交一个消费者的远程调用的POST请求,Apache Dubbo存在一个不安全的反序列化漏洞,从而导致远程代码执行。

 影响版本:

2.7.0 <= Apache Dubbo <= 2.7.4.1
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo = 2.5.x

漏洞分析

从burp发包的报错响应包可以看出入口是javax.

servlet.http.HttpServlet.service(HttpServlet.java:790),在该处加入断点,调试跟踪函数的走向。

000ac6b7b12cea014ef4f677ac800f9c.png

进入到org.apache.dubbo.remoting.http.servlet.

DispatcherServlet文件中,先判断handler对象是否为null,不为null继续调用handler.handle(request, response)。

9962cb13373443d5383414325044645e.png

进入到org.apache.dubbo.rpc.protocol.http.

HttpProtocol文件中,先判断请求方式是否是POST,从request对象中获取remoteAddr和remotePort,调用setRemoteAddress函数,然后进入skeleton.

handleRequest函数。

02a872d08543044100e8071cc99a9728.png

进入org.springframework.remoting.httpinvoker.

HttpInvokerServiceExporter文件,调用readRemoteInvocation函数。

30c15650dac7907b169392ef2ec8d69c.png

跟进 readRemoteInvocation函数,其调用RemoteInvocation.readRemoteInvocation函数。

d264ace23c66af88a34465f925f995c6.png

跟进RemoteInvocation.readRemoteInvocation函数,其调用doReadRemoteInvocation函数。

03af9f49992094e693fa2abb1d836004.png

进入org.springframework.remoting.rmi.

RemoteInvocationSerializingExporter文件,调用readObject函数。

697c2cfdacbf71c51392fe3a1904cac2.png

其中ois为post请求的data数据,传入ois的数据没有安全过滤和处理,直接执行了readObject方法导致RCE产生。

c876679b4e7c9618c875c32556ec7d2a.png

修复建议

升级Apache Dubbo到2.7.5版本。

6c81d0fdf6e1dc325cf6d75a612e96ac.gif END 6c81d0fdf6e1dc325cf6d75a612e96ac.gif 140b6aefed3b425dc1ddcbff01ecc7c7.png 3a657e6ab14f659a289a0e45a87c1470.png 1595e585eb95c5f5f5cab867db532980.png
流川枫海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java安全之Dubbo反序列化漏洞分析
m0_65462541的博客
12-21 2186
0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。 0x01 Dubbo Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。dubbo 支持多种序列化方式并且序列化是和协议相对应的。比如:Dubbo支持dubbormi、hessian、http、webservice、thrift、redis等多种协议。 运行机制 Dubbo框架启动,容器Contai
rmi 反序列化漏洞_CVE201917564 Apache Dubbo 反序列化漏洞安全通告
weixin_36277690的博客
01-07 254
【背景】2020年2月10号,Apache Dubbo反序列化漏洞(CVE-2019-17564)被公布,使用 Dubbo-Rpc-Http (2.7.3 or lower) 和Spring-Web (5.1.9.RELEASE or lower)的版本可被利用。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容...
Java当中更改源码/修复CVE-2016-1000027漏洞分析
山路曲折盘旋,但毕竟朝着顶峰延伸
08-03 5250
以spring-web这个包为例.本质上来说就是创建一个和HttpInvokerServiceExporter.class内容相同的HttpInvokerServiceExporter.java的文件,然后在handleRequest中去除那段多余的代码,然后将HttpInvokerServiceExporter.java文件生成一个新的.class文件,然后将新的.class文件替换到原来的spring-web的原jar包中;​ 漏洞版本:spring-web
docker api未授权导致rce 漏洞修复
core815的专栏
05-26 1648
docker api未授权导致rce 漏洞修复
Apache Dubbo反序列化漏洞
最新发布
YJ_12340的博客
05-24 838
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为,漏洞等级:高危。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo 被曝出“高危”远程代码执行漏洞
朱小厮的博客
06-25 1216
击上方“朱小厮的博客”,选择“设为星标”后台回复"加群",加入组织来源:22j.co/brUT0x01 漏洞背景2020年06月23日, 360CERT监测发现 Apac...
java反序列化漏洞-验证.rar
06-25
标签“java反序列化漏洞 java反序列化 java反序列化漏洞-验证方法”进一步强调了本主题的焦点。这些标签表明该资源涵盖了从基础概念到具体验证方法的全面讨论,包括: 1. **Java反序列化漏洞**:当不信任的数据源...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
在2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
Java序列化反序列化原理及漏洞解决方案
08-18
Java序列化反序列化原理及漏洞解决方案 Java序列化反序列化原理及漏洞解决方案是Java编程语言中的一项重要机制,该机制允许将Java对象转换为字节序列,以便在网络上传输或存储在文件中。同时,Java也提供了反序列化...
rmi 反序列化漏洞_[漏洞分析]CVE201917564/Apache Dubbo存在反序列化漏洞
weixin_29284885的博客
01-07 227
漏洞描述Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行.CVE编号CVE-2020-17564...
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列化与反序列化简介 三、反序列化怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
Spring HttpInvoker & EOFException
fantasy10o10o的专栏
11-12 1886
<br /> <br />配置完服务端Spring HttpInvoker后(Tomcat中),使用Web Browser访问资源地址收到如下错误:<br /> <br />  图1<br /> <br /> <br />图1中的java.io.EOFException是因为我是使用浏览器直接访问HttpInvokerServiceExporter,此时没有传递任何有意义的参数,但是HttpInvokerServer仍然已假设正确的方式读取。<br /> <br />分析图1中出现的异常情况后,接下来便配
http invoker
worn_xiao的博客
09-10 869
1:Spring Http设计思想 最近在研究公司自己的一套rpc远程调用框架,看到其内部实现的设计思想依赖于spring的远端调用的思想,所以闲来无事,就想学习下,并记录下。 作为spring远端调用的实现,最为简单的应该是通过http调用的实现,在这种依赖中不会依赖第三方等相关组件,调用者只需要配置相关http的协议 就可以实现,简单的配置,就可以使用spring的 IOC  容器的be
rmi 反序列化漏洞_写一个rmi反序列化工具
weixin_39997037的博客
01-07 2167
RMI(java 远程方法调用),RMI服务端和客户端之间通过序列化对象进行传输,所以JDK8 U121之前的版本存在反序列化漏洞RMI和java反序列化原理就不详细介绍了。RMI反序列化利用成功的条件如下:1.能够进行rmi通信。2.JDK版本小于8.0.1213.引入存在反序列化链的库,以commons.collections为例的话,就需要其版本小于commons.collec...
JAVA RMI 反序列化远程命令执行漏洞
热门推荐
LeeHDsniper的博客
05-11 2万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
Java反序列化漏洞修复方案
卉鱼程序人生
04-18 9540
据Oracle、Cert及我们自测,受影响版本包括但不限于: - 9.2.3.0 - 9.2.4.0 - 10.0.0.0 - 10.0.1.0 - 10.0.2.0 - 10.2.6.0 - 10.3.0.0 - 10.3.1.0 - 10.3.2.0 - 10.3.3.0 - 10.3.4.0 - 10.3.5.0 - 10.3.6.0 - 12.1.1.0 - 1
RMI Bypass Jep290(Jdk8u231) 反序列化漏洞分析
爱国小白帽
07-26 1497
360-CERT [三六零CERT](javascript:void(0)???? 前天 0x00 漏洞简述 随着RMI的进一步发展,RMI上的反序列化攻击手段正逐渐增多,该类漏洞最近正受到愈加广泛的关注。 RMI (Java Remote Method Invocation) 是Java远程方法调用,是一种允许一个 JVM 上的 object 调用另一个 JVM 上 object 方法的机制,在Java RMI 的通信过程中存在反序列化漏洞,攻击者能够利用该漏洞造成代码执行,漏洞等级:高危。 在JDK8
rmi远程反序列化rce漏洞_Spring框架的反序列化远程代码执行漏洞分析(转)
06-06
总的来说,RMI远程反序列化RCE漏洞和Spring框架的反序列化远程代码执行漏洞都是Java序列化机制的设计缺陷所导致的安全漏洞。攻击者可以通过构造恶意的序列化数据来绕过Java的安全机制,从而执行任意代码。因此,在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值