本文详细分析了Apache Dubbo的两个经典反序列化漏洞CVE-2019-17564和CVE-2020-1948,包括影响版本、漏洞环境准备、漏洞分析、补丁分析及修复方法。通过示例展示了漏洞利用链和修复措施,强调了升级到最新版本以避免此类漏洞的重要性。
前言
学习下Apache Dubbo系列的经典漏洞
CVE-2019-17564
0x01 影响版本
-
Dubbo 2.7.0 to 2.7.4
-
Dubbo 2.6.0 to 2.6.7
-
Dubbo all 2.5.x versions
0x02 环境准备
https://github.com/apache/dubbo-samples/tree/master/dubbo-samples-http下载源代码,在pom中切换dubbo版本,发现无法找到存在该漏洞的版本,手动下载jar包添加,并添加可利用依赖common-collections3.2
0x03 漏洞分析
在dubbo开启http协议后通过http协议的请求都会经过
org.apache.dubbo.rpc.protocol.http.HttpProtocol.InternalHandler#handle方法,所以在此处打断点
利用ysoserial生成payload
java -jar ysoserial.jar CommonsCollections6
"/System/Applications/Calculator.app/Contents/MacOS/Calculator">cc6
然后发送
curl http://127.0.0.1:8081/org.apache.dubbo.samples.http.api.DemoService --data-binary @cc6
会发现断在我们的断点处,向下跟踪
170行会根据我们传入的路径寻找处理器,我们看看this.skeletonMap的值
key对应着请求路径,value是一个HttpInvokerServiceExporter类的实例;接着在177行使用获取到的处理器处理请求,调用的是
org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter#handleRequest
接着会将请求发送到
org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter#
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
