Apache Dubbo反序列化漏洞复现分析

前言

学习下Apache Dubbo系列的经典漏洞

CVE-2019-17564

0x01 影响版本

• Dubbo 2.7.0 to 2.7.4

• Dubbo 2.6.0 to 2.6.7

• Dubbo all 2.5.x versions

0x02 环境准备

https://github.com/apache/dubbo-samples/tree/master/dubbo-samples-http下载源代码，在pom中切换dubbo版本，发现无法找到存在该漏洞的版本，手动下载jar包添加，并添加可利用依赖common-collections3.2

0x03 漏洞分析

在dubbo开启http协议后通过http协议的请求都会经过

org.apache.dubbo.rpc.protocol.http.HttpProtocol.InternalHandler#handle方法，所以在此处打断点

利用ysoserial生成payload

java -jar ysoserial.jar CommonsCollections6 
"/System/Applications/Calculator.app/Contents/MacOS/Calculator">cc6

然后发送

curl http://127.0.0.1:8081/org.apache.dubbo.samples.http.api.DemoService --data-binary @cc6

会发现断在我们的断点处，向下跟踪

170行会根据我们传入的路径寻找处理器，我们看看this.skeletonMap的值

key对应着请求路径,value是一个HttpInvokerServiceExporter类的实例；接着在177行使用获取到的处理器处理请求，调用的是

org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter#handleRequest

接着会将请求发送到

org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter#readRemoteInvocation(javax.servlet.http.HttpS