Apache-Seata存在Hessian反序列化漏洞(CVE-2024-22399)

最新推荐文章于 2025-06-30 16:23:25 发布
原创 最新推荐文章于 2025-06-30 16:23:25 发布 · 503 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #web安全 #安全威胁分析 #漏洞复现 #漏洞库 #渗透测试

漏洞描述

Apache Seata(incubating) 是一款开源的分布式事务解决方案,用于在微服务架构下提供高性能和简单易用的分布式事务服务。

Seata用于服务端与客户端通信的RPC协议(默认8091端口)以及2.0.0开始实现的Raft协议消息均支持hessian格式,在2.1.0及1.8.1版本之前的Hessian反序列化操作校验不严格,自身安全校验HessianSerializerFactory只作用于serialize序列化过程。

攻击者可通过向Seata服务端发送恶意的hessian格式RPC数据,通过SwingLazyValue等利用链反序列化执行任意代码。

poc

package org.example;

import com.caucho.hessian.io.Hessian2Output;
import com.caucho.hessian.io.SerializerFactory;
import io.netty.bootstrap.Bootstrap;
import io.netty.buffer.ByteBuf;
import io.netty.channel.ChannelFuture;
import io.netty.channel.ChannelHandlerContext;
import io.netty.channel.ChannelInitializer;
import io.netty.channel.EventLoopGroup;
import io.netty.channel.nio.NioEventLoopGroup;
import io.netty.channel.socket.SocketChannel;
import io.netty.channel.socket.nio.NioSocketChannel;
import io.netty.handler.codec.MessageToByteEncoder;
import io.netty.channel.ChannelInboundHandlerAdapter;
import io.seata.core.protocol.RpcMessage;
import io.seata.core.compressor.Compressor;
import io.seata.core.compressor.CompressorFactory;
import io.seata.core.rpc.netty.v1.HeadMapSerializer;
import io.seata.serializer.hessian.HessianSerializerFactory;
import sun.swing.SwingLazyValue;

import javax.activation.MimeTypeParameterList;
import javax.swing.*;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.lang.reflect.M
最低0.47元/天 解锁文章
Hessian 反序列化RCE漏洞复现
0xSec
12-29 2978
Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用,区别是Hessian是二进制协议,Axis、XFire则是SOAP协议,所以从性能上说Hessian远优于后两者,并且Hessian的JAVA使用方法非常简单。它使用Java语言接口定义了远程对象,集合了序列化/反序列化和RMI功能。Hessian是一个轻量级的RPC框架。
CVE-2024-2389 未经身份验证的命令注入
技术超强的网络安全平台
09-18 1647
应该注意的是,run() 方法还接受第二个参数,它是一个参数数组,将使用 escapeshellarg() 括在引号中,以防止命令注入。如果 run() 的第二个参数中将参数作为数组,则不太可能利用这一点,因为数组中的每个项目都被视为一个参数,并在调用 assembleCommand() 时通过 escapeshellarg() 传递。在 “PdfGenerator.php” 中,generate() 方法 [1] 只是调用 getExec.run() [2] 方法的包装器,该方法执行系统命令。
Apache Seata < 2.3.0 raft反序列化漏洞
最新发布
murphysec的博客
06-30 473
Apache Seata <2.3.0存在高危反序列化漏洞CVE-2025-32897),影响Seata Server [2.0.0, 2.3.0)版本。Raft模块CustomDeserializer未校验用户可控类名,直接通过Class.forName()加载,攻击者可利用服务端恶意链实现远程代码执行。修复版本2.3.0引入白名单机制,仅允许反序列化org.apache.seata包下类。建议受影响用户立即升级至2.3.0及以上版本,或限制Raft端口访问并启用IP白名单。
JavaSec | Hessian 学习分析
zgz67611的博客
01-22 1274
hessian 是个轻量级的远程 http 工具,采用binaray Rpc协议,适合发送二进制数据,同时具有防火墙穿透功能,hessian 一般通过 web 应用来提供服务。一句话说就是Hessian是一个基于http的二进制rpc轻量级工具。什么是 RPC 呢?,远程过程调用,RPC它以标准的二进制格式来定义请求的信息(请求对象、方法、参数等),这种方法传输信息的优点之一就是跨语言及操作系统。
Java Hessian反序列化漏洞
Keepb1ue的博客
01-10 4745
Java Hessian反序列化漏洞复现
hessian序列化_漏洞情报Apache Dubbo反序列化漏洞及补丁绕过(哨兵云支持检测)...
weixin_36194075的博客
01-04 409
Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目于 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。近日,默安科技应急响应中心发现Apache Dubbo发布安全公告,披露Provider默认反序列化导致的远程代码执行漏洞(CVE-2020-19...
Hessian反序列化漏洞学习记录
include_voidmain的博客
10-13 1118
Hessian反序列化漏洞学习记录
apache-seata-2.1.0-incubating-bin.tar.gz
04-15
Apache Seata 是一款开源的分布式事务解决方案,旨在提供高性能和易用性的分布式事务服务。它的主要设计理念是易于使用、易于理解和易于维护。Seata 为用户提供了全面的分布式事务服务,支持AT、TCC、SAGA和XA事务...
apache-seata-2.2.0-incubating-bin.tar.gz
10-11
最后,压缩包中还会包含seata-namingserver和seata-server两个文件夹,分别存放了Seata的命名服务和服务器端的相关文件。命名服务负责注册和发现服务,而服务器端则是Seata的核心,负责全局事务的协调和管理。 ...
apache-seata-2.3.0-incubating-bin.tar.gz
06-01
Seata 是一款开源的分布式事务解决方案,致力于在微服务架构下提供高性能和简单易用的分布式事务服务
Apache Dubbo Hession反序列化漏洞CVE-2022-39198)
huofuman960209的博客
11-07 2494
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危。
记1.4.2版本的seata大坑no available service ‘null‘ found, please make sure registry config correct
lwkkk的博客
04-12 1709
还有错误是 问题二,三: 0101 can not connect to 0.0.0.1:8091 cause:can not register RM,err:can not connect to services-server. can not connect to services-server. 针对标题的问题,首先排查下依赖加对了没有,博主照b站up主教学导入的依赖,结果就悲剧了... up主用的是1.3版本的seata,而博主用的是1.4.2版本的seata,支持在nacos配置中心用一
[漏洞利用]xxl-job Hessian2反序列化漏洞深入利用
LiangYueSec的博客
10-08 3319
[漏洞利用]xxl-job Hessian2反序列化漏洞深入利用
[工具推荐]Hessian反序列化漏洞利用工具分享
LiangYueSec的博客
08-22 1055
[工具推荐]Hessian反序列化漏洞利用工具分享
『Java安全反序列化-浅析Hessian反序列化POP链
Ho1aAs‘s Blog
07-22 1455
# 反序列化漏洞原理 在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用反序列化器的readMap方法进行反序列化操作**,默认反序列化出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
seata 踩坑记录
流离岁月的博客
07-19 1917
seata 踩坑记录 1.seata1.4.2 版本 有个bug,客户端启动时候影响了spring security oauth2的bean初始化 原因:seata1.4.2中io.seata.spring.utilsProxyUtils#findTargetSpringClass中获取代理对象的方法targetSource.getTargetClass()引起的。 在1.4.1 之前,对于TargetSource这个对象, 认为就是静态对象,所以直接取的targetSource.getTargetCl
seataseata整合nacos+springcloud alibaba+openfeign+fallbackFactory保姆级教程 解决openfeign降级 seata失效问题及各种坑点
孟秋与你的博客
12-15 4141
本文环境采用的是2021.x中最新的版本,也是springboot 2中 最新的版本对应关系, 亲测可行,阅读教程前请先核对自己的版本。 (2022.x与springboot3对应,而springboot3又和高版本jdk关联,博主暂没研究)nacos版本:2.2.0 seata版本:1.6.1 springboot: 2.6.13 spring-cloud: 2021.0.5 spring-cloud-alibaba: 2021.0.5.0 其它: mybatis plus: 3.5.1 openfeig
反序列化工具_Hessian反序列化RCE漏洞复现分析
weixin_40003512的博客
12-02 1617
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存在反序列化RCE问题。使用marshalsec项目工具(https://github.com/mbechler/...
Java Unmarshalling Security - 攻击Hessian协议
Exploit的小站~
05-10 9099
0x00 Hessian协议解析 Hessian是一个轻量级的Java反序列化框架,和Java原生的序列化对比,hessian更加高效并且非常适合二进制数据传输。 既然是一个序列化/反序列化框架,hessian也有反序列化命令执行的问题,这个在marshalsec工具中有所体现。这里有个有趣的点,在hessian框架中,ysoserial框架提供的gadget无法使用,你会发现在hessian...
apache-seata-2.1.0-incubating-bin seata服务中 conf文件夹中的文件及配置yml介绍
03-28
<think>好的,我需要帮助用户了解Apache Seata 2.1.0版本中conf文件夹内的YML配置文件的作用和详细说明。首先,我应该回忆一下用户提供的引用内容,看看有没有相关的配置信息。引用2提到了application.yml的配置步骤,引用3和4也涉及到了配置的修改,尤其是事务组和注册中心的设置。 首先,我需要确定conf文件夹中有哪些主要文件。通常,Seata的conf目录下可能有application.yml、registry.conf、file.conf等文件。不过根据引用2和4,用户提到的是application.yml和register.conf,可能是指registry.conf?这里需要注意版本差异,不同版本的Seata可能配置文件有所不同。 接下来,我应该逐个分析这些配置文件的作用。比如application.yml可能包含服务端的基本配置,如存储模式、注册中心设置、配置中心设置等。引用2中的用户修改了application.yml,配置了nacos作为注册中心,这可能是一个关键点。同时,引用4提到事务组配置,前面是yml里的事务组,后面是register.conf里的定义,这说明事务组需要在两个地方配置一致。 然后,我需要详细解释每个配置项的意义,比如store.mode表示存储模式,可以选择file、db或redis;registry部分配置注册中心的类型和参数,比如nacos的server地址、命名空间等。此外,config部分可能涉及配置中心的设置,如同样使用nacos来管理配置。 还需要注意,用户提供的引用中有提到MySQL和PostgreSQL的数据库配置,这可能涉及到Seata服务端存储事务日志的数据库设置。例如,在application.yml中配置数据库连接信息,让Seata将事务信息持久化到数据库中,而不是默认的文件存储。 此外,引用3提到AT模式的使用和简化配置,这可能涉及到事务分组和代理数据源的配置,需要在客户端的配置文件中进行相应的设置,但用户的问题是关于服务端conf文件夹的配置,所以可能需要区分服务端和客户端的配置。 可能存在的一些疑问是,比如不同存储模式的区别,如何选择注册中心,事务分组的命名规则等。需要确保解释清晰,并参考用户提供的引用内容,特别是引用2中的具体配置步骤,来确保准确性。 最后,生成的相关问题需要围绕配置文件的细节、不同配置的作用、常见问题等展开,帮助用户进一步深入了解。</think>### Apache Seata 2.1.0 `conf` 文件夹 YML 配置详解 Apache Seata 的 `conf` 文件夹包含核心配置文件,主要用于服务端参数定义、注册中心/配置中心对接及事务存储模式配置。以下是关键文件及配置项的说明: --- #### 1. **`application.yml`** 这是服务端的主配置文件,包含以下核心模块: ##### **1.1 服务端参数** ```yaml server: service-port: 8091 # Seata Server 服务端口 ``` ##### **1.2 存储模式(`store`)** 定义事务日志存储方式,支持 `file`(默认,文件存储)、`db`(数据库存储)、`redis`(需 Seata 1.6+)[^2][^3]: ```yaml store: mode: db # 可选 file/db/redis db: datasource: druid url: jdbc:mysql://10.0.61.22:3306/seata?useSSL=false user: root password: 123456 min-conn: 5 max-conn: 30 ``` - **数据库模式**需提前执行 `scripts/store/db/mysql.sql` 脚本创建表[^3]。 ##### **1.3 注册中心(`registry`)** 配置服务发现机制(如 Nacos、Eureka): ```yaml registry: type: nacos nacos: application: seata-server server-addr: 10.0.61.21:8848 namespace: seata-namespace cluster: default ``` - `cluster` 需与客户端配置的事务组匹配[^4]。 ##### **1.4 配置中心(`config`)** 指定配置来源(如 Nacos、ZooKeeper): ```yaml config: type: nacos nacos: server-addr: 10.0.61.21:8848 namespace: seata-namespace data-id: seataServer.properties ``` --- #### 2. **`registry.conf`** 该文件定义 **注册中心** 和 **配置中心** 的类型及参数,需与 `application.yml` 保持一致: ```conf registry { type = "nacos" nacos { application = "seata-server" serverAddr = "10.0.61.21:8848" namespace = "seata-namespace" cluster = "default" } } config { type = "nacos" nacos { serverAddr = "10.0.61.21:8848" namespace = "seata-namespace" dataId = "seataServer.properties" } } ``` --- #### 3. **事务分组配置** 在客户端和服务端需统一事务组名称,例如: - **服务端** `application.yml`: ```yaml service: vgroup-mapping: my_tx_group: default # 客户端事务组名映射到集群名 ``` - **客户端** `application.yml`: ```yaml seata: tx-service-group: my_tx_group ``` --- #### 4. **其他文件** - **`file.conf`**:旧版本中用于存储模式和网络参数配置,新版本已整合到 `application.yml`。 - **`metrics.conf`**:监控指标输出配置(如 Prometheus)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值