CVE-2021-30179：Apache Dubbo RCE复现

Apache Dubbo是一个分布式框架，致力于提供高性能透明化的RPC远程服务调用方案，以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。

编号：CVE-2021-30179

Apache Dubbo默认支持泛化引用由服务端API接口暴露的所有方法，这些调用由GenericFilter处理。GenericFilter将根据客户端提供的接口名、方法名、方法参数类型列表，根据反射机制获取对应的方法，再根据客户端提供的反序列化方式将参数进行反序列化成pojo对象，反序列化的方式有以下选择：

• true

• raw.return

• nativejava

• bean

• protobuf-json

  
  

我们可以通过控制反序列化的方式为raw.return/true、nativejava、bean来反序列化我们的参数从而实现反序列化，进而触发特定Gadget的，最终导致了远程命令执行漏洞

Apache Dubbo 2.7.0 to 2.7.9

Apache Dubbo 2.6.0 to 2.6.9

Apache Dubbo all 2.5.x versions (官方已不再提供支持)

以Apache Dubbo 2.7.9为测试环境

1、下载zookeeper

解压后的根目录下新建data和logs两个文件夹，修改conf目录下的zoo_sample.cfg为zoo.cfg，覆盖原有的dataDir并添加dataLogDir

2、双击bin目录下的zkServer.cmd，启动zookeeper，默认监听2181端口

3、下载测试Demo及POC：

该测试Demo是我在基础的Dubbo测试项目上添加了需要使用的Gadget所需的依赖（该CVE使用的为org.apache.xbean以及CC4）

师傅们也可以参考https://mp.weixin.qq.com/s/9DkD2g09mmplZ7mow81sDw安装官方提供的项目进行测试

（项目里的POC是我在参考链接的基础上修改后的结果，后续会更新Dubbo的其他CVE、GHSL的POC）

4、启动Provider

1、下载marshalsec并编译得到jar包

2、创建Exploit.java文件，通过javac得到Exploit.class文件

3、在Exploit.class目录下开启http服务

4、使用marshalsec开启JNDI服务

5、查看暴露的接口及其方法

打开

src\main\java\top\lz2y\vul\CVE202130179.java修改上一步得到的接口名及其方法

6、替换CVE-2021-30179.java中的POC1的ldap uri

填写Dubbo服务的ip以及端口号

7、运行即可发起JNDI注入执行打开计算器

POC2同POC1，只需修改LDAP服务地址即可使用

POC3为通过nativejava选项反序列化触发sink点，这里以CC4为例，利用yso生成CC4的序列化文件

运行即执行calc弹出计算器

升级 Apache Dubbo 至最新版本；

设置 Apache Dubbo 相关端口仅对可信地址开放。