java中间件命令执行总结,dubbo中间件存在Java反序列化命令执行风险 | wooyun-2016-0188237| ...

最新推荐文章于 2022-02-18 16:26:26 发布
最新推荐文章于 2022-02-18 16:26:26 发布
阅读量265 收藏
点赞数
文章标签: java中间件命令执行总结

-----------------

0x00 dubbo 简介

------------------

Dubbo是阿里巴巴提供的一个开源的分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案。

与传统的webservice不同,dubbo可以集中管理各个服务提供者、消费者集群,并提供注册中心、性能监控和管理后台等功能。

官网:http://**.**.**.**/Home-zh.htm

------------------------

0x01 dubbo的RMI调用方式

------------------------

RMI就是java程序中普遍使用的一种远程过程调用的接口,用于实现远程方法的调用。

Dubbo号称无侵入的API,甚至只需要JDK支持。这不禁让我想到dubbo这种远程service管理系统难不成会少了RMI的身影?

看了一下dubbo的源码,发现dubbo存在多个协议的支持:

9e99914b58a70263e1e795dcfc7128b9.png

不出所料,果然是支持RMI协议。来看一下dubbo里的实现:

b6913c130e2ef47ba1e2ee5947f68839.png

使用了Spring的RMI创建方式,底层实现还是原生RMI,如果server端使用了不安全的lib,就会造成RMI方式的反序列化漏洞。

----------------------------------

0x02 dubbo RMI模式下的反序列化漏洞

-----------------------------------

本地搭建起dubbo服务,使用zookeeper作为注册中心,protocol选择为:

b83b2e19b6bf00c48a07e985da980d60.png

开启RMI服务之后,就会在dubbo控制台上看到服务信息:

0c81d02aca0e5efb1e41813a0372f2f2.png

使用ysoserial.jar提供的RMI注册类执行命令,这里使用了cloudeye进行辅助测试:

be0776ea7be98df3484cdf186d812fc0.png

关于RMI的反序列化执行,可以看看zone上有人发的帖子,想了解原理,可以看绿盟发的分析文:http://**.**.**.**/java-deserialization-vulnerability-overlooked-mass-destruction/

Cloudeye收到信息:

e9c1e79048f3b5586b6f989bd256a6b5.png

--------------

0x03 小彩蛋

---------------

在测试的途中,发现了不少dubbo的监控组件暴露,并且互联网上存在很多弱口令的dubbo-admin(默认用户名/密码为root)。

两个小例子:

**.**.**.**:8090/governance/services/jackjboss/com.chsoft.shiro.facade.UserService/providers/615

**.**.**.**:8080/governance/services/com.alibaba.dubbo.monitor.MonitorService/providers/40

天驱蚊香
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
JAVA反序列化基于常见框架/中间件回显方案
问题很多的小明
08-27 1580
0x00概述 JAVA反序列化漏洞是JAVA中最常见的可以直接获取目标权限的漏洞,通过反序列化回显的思路也是越来越多,如通过远程加载回显、在目标网站写文件、通过URLClassLoader回显、借助dnslog回显等。这些思路多少都有些瓶颈。一旦遇到了目标因网络策略严格无法出外网,则需要借助Dnslog的打法效果会失效,如果可以直观的返回命令执行结果,那岂不是更香? 0x01知识点 Tomcat处理流程 在tomcat自己实现的Servlet处打断点,观察tomcat调用栈大致执行流程: 调用过程
我眼中的Java反序列化漏洞
ovowovo的博客
12-10 423
一、Java 序列化与反序列化 Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。 Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。 序列化与反序列化是让 Java 对...
067-JAVA反序列化基于常见框架_中间件回显方案.pdf
09-20
067-JAVA反序列化基于常见框架_中间件回显方案.pdf
WEBLOGIC中间件反序列化漏洞升级
qq_28156305的博客
08-02 585
先说下我的中间件版本 weblogic12c 12.2.3.1也是目前最新版本 年初查出了Oracle中间件weblogic反序列化漏洞weblogic-CVE-2018-2628,4月官方给出了升级补丁包,打上之后发现并没有修复漏洞,网上有临时方案,配置筛选器,也没什么鸟用,配不好server都启不来。 一直到7月,新的漏洞号weblogic-CVE-2018-2893出来了,官方立即给出了...
dubbo-admin-0.0.1-SNAPSHOT.jar
09-08
dubbo-admin.jar,不需要tomcat,zookeeper127.0.0.1:2181,账户密码都是root
incubator-dubbo-ops-master.rar
05-07
- **Dubbo-Monitor-Simple**:这是一个轻量级的可视化监控工具,它能够实时展示Dubbo服务的运行状态,包括调用次数、成功率、平均响应时间等关键指标,帮助开发者及时发现并解决问题。 2. **Dubbo-Admin的功能详解...
基于java的开发源码-服务框架 Dubbo.zip
最新发布
03-05
基于java的开发源码-服务框架 Dubbo.zip 基于java的开发源码-服务框架 Dubbo.zip 基于java的开发源码-服务框架 Dubbo.zip 基于java的开发源码-服务框架 Dubbo.zip 基于java的开发源码-服务框架 Dubbo.zip 基于java的...
jmeter-plugins-dubbo-2.7.4-jar-with-dependencies.jar
12-04
而业务测试中又需要能有一个支持接口级的压测工具(基于dubbo的测试工具之前有造过一个轮子详见:https://blog.csdn.net/qq355667166/article/details/78914453),经过测试同学选型最终确认了采用jmeter+插件化...
jmeter-plugins-dubbo-2.7.8-jar-with-dependencies.jar
06-22
jmeter的dubbo插件,jmeter-plugins-dubbo-2.7.8-jar-with-dependencies.jar,适用于JMeter5.4.1版本,将解压后的文件jmeter-plugins-dubbo-2.7.8-jar-with-dependencies放在Jmeter安装目录下的\lib\ext文件夹中,...
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
Java序列化和反序列化
weixin_44495008的博客
01-14 228
一、序列化的含义及作用 含义: 序列化:将Java对象转换成字节序列 反序列化:将字节序列转换成Java对象 作用: 字节序列可用于网络传输 可将Java对象持久化到存储介质中(比如硬盘) 二、序列化常用方式 1. 实现Serializable接口 要点: serialVersionUID的作用是验证序列化前后对象版本一致性; 静态变量 和 被 transient 修饰的变量不会被序列化 2. 实现Externalizable接口 要点: 需要提供public的无参构造方法 需要实
反序列化漏洞汇总
buffedon的博客
07-15 4116
JAVA反序列化、PHP反序列化,场景容器反序列化利用过程
常见中间件漏洞总结
weixin_40766105的博客
12-28 2349
今天我想总结四个常见的中间件漏洞分别是Weblogic,Jboss,Websphere和Jenkins。 Weblogic: 1.文件上传 文件上传有两个页面可以进行利用 begin.do页面上传 这段没什么说的,就是普通的上传,在response中就可以看到真实的地址。 config.do页面上传 访问 http://localhost:7001/ws_utc/config.do 此页面上传的...
java反序列化漏洞修复_【修复总结JAVA反序列化
weixin_36413157的博客
03-08 2735
威胁说明如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。问题原因类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法问题根源Ap...
Dubbo:搭建管理控制台(dubbo-admin)
热门推荐
琦彦
01-11 6万+
1. 下载dubbo-admin 官网地址:https://github.com/apache/incubator-dubbo/tree/2.5.x     2. dubbo-admin配置 进入 dubbo-admin-2.5.10/WEB-INF目录修改dubbo.properties文件: 注册中心地址(这里用的是zookeeper) 用户密码(注意:root用户的密...
dubbo报错总结
麦田里的码农
12-08 8180
  作为一个dubbo使用新手,有必要总结一些常见的dubbo问题,提升解决问题的套路。 1.dubbo consumer 调用provider报错(1)- No provider available 问题:No provider available from registry xxx from service xxx on consumer xxx may be providers disab...
中间件漏洞--Weblogic反序列化
夜行者的博客
02-18 2946
检测方法1: 1)使用Weblogic中间件JAVA反序列测试工具,输入端口号与ip点击connect按钮; 2)若是结果出现connected!测试存在漏洞,出现connecting--测试不存在该漏洞 检测方法2: 1)打开DOS,输入java -jar weblogic_cmd.jar-H “127.0.0.1” –P 7001–C “ipconfig”; 2)若能成功执行命令,则存在漏洞。 解决方法: 升级...
dubbo 用户名密码问题
彻底拆分,一切可控!
06-29 2万+
dubbo-admin 用户名,密码问题
dubbo.protocols.dubbo.port=-1
09-12
关于Dubbo管理平台,您可以下载dubbo-admin.2.5.6.war包并部署自己的服务器上。您提到有一些免积分下载的方法,但是目前最低要求是2个积分。 最后,针对您提到的问题描述`Failed to bind properties under 'spring....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值