反序列化漏洞的末日?JEP290机制研究

最新推荐文章于 2024-11-21 17:20:36 发布
原创 最新推荐文章于 2024-11-21 17:20:36 发布 · 1.1w 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了JEP290为Java引入的反序列化过滤机制,特别是针对RMI远程调用的影响。JEP290不仅提供了黑名单和白名单功能,还增强了对RMI导出对象的验证,有效地提升了系统的安全性。
0x00 前言
先说一下JEP290这个增强建议本身其实在2016年就提出来了,本身是针对JAVA 9的一个新特性,但是随后官方突然决定向下引进该增强机制,分别对JDK 6,7,8进行了支持:
当时pwntester大神还专门发了个推标庆祝了一下:

所以官方从8u121,7u13,6u141分别支持了这个JEP。
我为什么现在才来说这个case,因为最近测一个RMI的漏洞过程中,发现居然默认情况下把反序列化给拦截掉了,看了异常信息,发现是JDK本身造成的。后来才知道,原来这个java 9 的特性早就移植到6,7,8了。因此打算着重讨论下这个新的机制对RMI序列化的影响。

0x01 JEP290介绍
JEP290主要描述了这么几个机制:
(1)提供一个限制反序列化类的机制,白名单或者黑名单
(2)限制反序列化的深度和复杂度
(3)为RMI远程调用对象提供了一个验证类的机制
(4)定义一个可配置的过滤机制,比如可以通过配置properties文件的形式来定义过滤器
实际上就是为了给用户提供一个更加简单有效并且可配置的过滤机制,以及对RMI导出对象执行检查。
其核心实际上就是提供了一个名为ObjectInputFilter的接口,用户在进行反序列化操作的时候,将filter设置给ObjectInputStream对象。这里就是用的setInternalObjectInputFilter方法:

每当进行一次反序列化操作时,底层就会根据filter中的内容来进行判断,从而防止恶意的类进行反序列化操作。此外,还可以限制反序列化数据的信息,比如数组的长度、字节流长度、字节流深度以及使用引用的个数等。filter返回accept,reject或者undecided几个状态,然后用户根据状态进行决策。
而对于RMI来说,主要是导出远程对象前,先要执行过滤器逻辑,然后才进行接下来的动作,即对反序列化过程执行检查。
此外,还提供了两种可配置过滤器的方式:
(1)通过设置jdk.serialFilter这个System.property
(2)直接通过conf/security/java.properties文件进行配置

具体规则方面的内容可以直接参考原始链接:


0x02 RMI的过滤机制
RMI这个就不多介绍了,给出一张原理图:

RMI将网络通信的部分进行了抽象,这部分逻辑对于用户来说是透明的,其实是通过动态代理机制来实现的,通过Stub和Skel这两个代理对象,完成了对远程对象的调用。
扯远了,我们还是看看RMI中新加入的过滤机制。
首先先要复现该问题,自己写一个RMI Server,然后启动起来。之后,写一个RMI Client,调用bind方法将恶意的类发送给Server。结果直接抛出异常:

同时Server的控制台打印出来错误日志:

可以看到,是在处理远程对象代理的时候,没有通过filter的校验从而报错。
我使用的是8u131进行调试,直接来到RegistryImpl_Skel类中的46行代码,这里就是导出远程对象:

readObject正是在执行反序列化操作,单步跟进,就来到了ObjectInputStream的readObject方法中,调用的是readObject0方法:

接下来是readOrdinaryObject-> radClassDesc->readProxyDesc,然后获取里面的接口并调用filterCheck方法一个个检查,最后再对对象本身进行一次检查:

来到filterCheck方法中:

可以看到这里调用了ObjectInputStream中的serialFilter属性的checkInput方法,最后真正检查的是RegistryImpl.registryFilter方法,针对远程对象的检查条件如下: 
return String.class != var2 && 
!Number.class.isAssignableFrom(var2) && 
!Remote.class.isAssignableFrom(var2) && 
!Proxy.class.isAssignableFrom(var2) && 
!UnicastRef.class.isAssignableFrom(var2) && !RMIClientSocketFactory.class.isAssignableFrom(var2) && !RMIServerSocketFactory.class.isAssignableFrom(var2) && !ActivationID.class.isAssignableFrom(var2) && 
!UID.class.isAssignableFrom(var2) ? Status.REJECTED : Status.ALLOWED;
可以看到直接把AnnotationInvocationHandler给禁用掉了,所以这个方法肯定是要返回REJECTED状态了,因此直接就抛了异常出来。

0x03 思考
ObjectInputFilter的引入是给了用户一个非常方便并且很官方的反序列化过滤机制,因此用好它可以很方便的写出过滤代码,思考一下反序列化刚出现的那会儿,还得自己去编码实现过滤机制,稍有不慎就会出问题。但是有了Filter机制,并不代表一定不会出问题,原因是开发者使用黑名单机制还是有可能漏掉一些lib或者有新的gadgets出现。所以以后反序列化漏洞还是可以玩一段时间,毕竟底层开发者技术跟进需要时间。
最后说一句,RMI这种粗暴的过滤我实在保留意见,因为可能会让很多基于RMI的程序面临兼容性问题。

Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
RMI-JEP290的分析与绕过
Karka_的博客
08-23 354
JEP290是Java官方提供的一套来防御反序列化机制,其核心在于提供了一个ObjectInputFilter接口,通过设置filter对象,然后在反序列化(ObjectInputStream#readObject)的候触发filter的检测,同样,这套机制在RMI中也适用,所以在一些高版本的情况下,依靠单纯的反序列化的方式无法达到效果,但是我们可以借助一些方式来绕过它。
Java RMI反序列化/JEP290相关
公众号shadow sock7
02-11 1922
RMI 远程过程调用 (Remote Procedure Call)是一种服务器-客户端模式, Java的RMI(Remote Method Invocation)是一种RPC实现。 其基本思想是程序员可以像本地那样,与远程对象进行交互。 步骤: 1、创建一个接口IRemoteService,继承自java.rmi.Remote; 2、S端创建一个类IRemoteServiceImpl,实现该接口...
JEP 290 初识
Armandhe的博客
05-10 620
JEP 290 初识
浅谈 JEP290
蚁景网安学院
07-05 519
JEP290 是 Java 底层为了缓解反序列化攻击提出的一种解决方案,主要做了以下几件事:1、提供一个限制反序列化类的机制,白名单或者黑名单。2、限制反序列化的深度和复杂度。3、为 RMI 远程调用对象提供了一个验证类的机制。4、定义一个可配置的过滤机制,比如可以通过配置 properties 文件的形式来定义过滤器。
精选资源
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例...
精选资源
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
【MySQL JDBC 反序列化漏洞分析】 MySQL JDBC 反序列化漏洞主要涉及到Java数据库连接(JDBC)驱动程序中的安全问题。JDBC是Java中用于与数据库交互的标准接口,允许开发者使用Java语言执行SQL语句。在特定版本的...
JEP-290:JEP-290的测试
03-28
JEP-290 JEP-290的测试 建造 要构建此项目,请运行以下命令(Mac或Unix): ./build 这将构建Java代码,然后构建2个docker映像: jep290 / java:使用裸Java 8 VM测试过滤。 jep290 / jboss:在运行于Java 8 VM之上的JBoss WildFly 14应用服务器中测试过滤。 跑步 该测试使用以下JDK串行过滤器进行配置:java.math。**;!* 这意味着只允许序列化java.math包中的类。 要运行简单的Java测试,只需执行以下操作: docker run jep290/java 您应该看到以下输出: Jan 1, 1970 0:00:00 AM sun.misc.ObjectInputFilter$Config lambda$static$0 INFO: Creating serializa
JEP 290之后攻击Java RMI服务
hldfight
03-12 1709
1 RMI基础 1.1 概述 远程方法调用是分布式编程中的一个基本思想。实现远程方法调用的技术有很多,例如WebService,两者的区别就是:WebService是独立于编程语言的,它可以跨语言实现项目间的方法调用,而Java RMI是专用于Java环境的。 远程服务器实现具体的Java方法并提供接口,客户端本地仅需根据接口类的定义,提供相应的参数即可调用远...
JEP290深入学习
why811的博客
09-28 901
字段的类型就是接受的参数类型FilterInfo。
MyBatis一级缓存和二级缓存
dragonhu的博客
11-21 562
MyBatis 缓存是 MyBatis 中非常重要的一个特性,它的作用是减少数据库的查询次数,提高系统性能。
JEP290下的RMI实现及Bypass 8u231-8u240
ALLEN'Blog
02-06 394
这篇接着上一篇针对8u231利用利用不成功的后续进行分析,通过另外一种手法 Bypass 8u231的修复。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
从Java 9反向移植对象反序列化过滤器
啊啊啊啊2
03-26 365
JEP 290让开发人员可以在反序列化对象对传入数据进行过滤。该提案最初是针对Java 9提出的,但现在已经反向移植到Java 6、7、8。该特性提供了一种机制,可以在处理对象输入流过滤传入数据,并且可以帮助预防反序列化漏洞。前不久,这种漏洞曾影响了Apache Commons及其他库。\u0026#xD;\n\u0026#xD;\n反序列化不可信任数据是开放Web应用安全项目(OWASP)和...
jep290涉及jdk版本_而针对的最新JDK 9 JEP是……
07-07 382
jep290涉及jdk版本 自去年宣布Java 9功能以来,有241个JEP和两个目标– JDK 9背后的团队一直很忙。 这是针对JDK 9的十个最新中小型项目的TL; DR 。 正确处理进口货单 ( JEP 216 ) 根据导入的顺序,当前的Javac有会接受或拒绝相同的源代码。 业主扬·拉霍达(Jan Lahoda)说,这是“错误和令人困惑的事情”,他成功提出了纠正建议。 注释...
RMI Bypass Jep290(Jdk8u231) 反序列化漏洞分析
爱国小白帽
07-26 1744
360-CERT [三六零CERT](javascript:void(0)???? 前天 0x00 漏洞简述 随着RMI的进一步发展,RMI上的反序列化攻击手段正逐渐增多,该类漏洞最近正受到愈加广泛的关注。 RMI (Java Remote Method Invocation) 是Java远程方法调用,是一种允许一个 JVM 上的 object 调用另一个 JVM 上 object 方法的机制,在Java RMI 的通信过程中存在反序列化漏洞,攻击者能够利用该漏洞造成代码执行,漏洞等级:高危。 在JDK8
JDK 12 – JEP 325开关表达式
最佳 Java 编程
06-12 561
JDK 12于2019年3月19 日上线GA,继续致力于缩短发布周期和频繁发布。 该版本的功能部分可以在这里找到。 对于开发人员来说,有趣的功能之一是“ JEP 325开关表达式 ”,它可以作为预览功能使用。 此处定义的预览功能是: 预览语言或VM功能是Java SE平台的一项新功能,该功能已完全指定,完全实现但不是永久性的。 JDK功能发布中提供了该功能,以根据实际使用情况激发开发...
如何防御WebLogic反序列化漏洞攻击?
最新发布
07-28
<think>嗯,用户现在询问的是如何防御WebLogic反序列化漏洞攻击。之前的历史对话已经详细讨论了如何判断攻击是否成功,现在用户显然想转向防护措施。从引用的材料来看,这些漏洞主要涉及T3/IIOP协议、wls9-async组件和黑名单绕过机制[^1][^3][^5],所以防御方案需要针对性解决这些问题。 用户可能是个运维工程师或安全人员,正面临实际防护需求。ta特意强调"参考站内引用",说明需要权威解决方案而非泛泛而谈。值得注意的是,引用[2]提到WebLogic反序列化漏洞频发是因为"存在较多反序列化类和触发途径",这提示防御必须多管齐下。 防御方案应该覆盖三个层面:首先是补丁管理,因为引用[4]明确列出受影响的WebLogic版本;其次是协议控制,引用[3][^4]都指出T3/IIOP协议是主要攻击向量;最后是纵深防御,引用[2]强调黑名单机制容易被绕过,需要白名单等补充措施。 技术细节上要特别注意:wls9-async组件在引用[5]被确认为默认启用危险组件,必须优先处理;引用[4]提到的CVE-2023-21839表明即使新版本也存在风险,说明补丁不能一劳永逸;引用[1]提到的反序列化原理则暗示需要监控ObjectInputStream的使用。 用户没有说明环境是测试还是生产,所以方案需包含操作风险提示。另外考虑到ta之前关注过攻击验证,防御措施里可以加入"如何验证防护有效性"的建议,比如用旧版工具测试T3协议是否真正关闭。</think>防御WebLogic反序列化漏洞攻击需采取分层防护策略,结合补丁管理、协议控制和运行防护等手段。以下是关键防御措施: --- ### 一、基础防护:补丁与配置加固 1. **及安装官方补丁** - 定期检查Oracle官方安全公告,优先修复高危漏洞(如CVE-2023-21839、CVE-2019-2890)[^4][^3] - **操作示例**: ```bash # 下载官方补丁(示例) wget https://updates.oracle.com/ARULink/PatchDetails/process_form?patch_num=12345678 ``` 2. **禁用高风险协议** - 关闭非必需的T3/IIOP协议(主要攻击向量)[^4]: ```xml <!-- 修改config.xml --> <protocol>t3</protocol> <enabled>false</enabled> ``` - 通过控制台操作: `Admin Console → Environment → Servers → [Server] → Protocols → Disable T3` 3. **移除危险组件** - 删除易受攻击的组件(如`wls9-async.war`)[^5]: ```bash rm $DOMAIN_HOME/servers/AdminServer/tmp/_WL_internal/wls9-async/* ``` --- ### 二、纵深防御:运行防护 1. **启用反序列化过滤器** - 配置`FilterConfig.properties`文件,强制使用白名单机制: ```properties # 限制允许反序列化的类 java.util.ArrayList=ALLOWED java.lang.String=ALLOWED *.*=REJECTED # 默认拒绝所有 ``` - 启动参数添加:`-Djava.security.manager -Djava.security.policy=filter.policy` 2. **部署RASP防护** - 使用应用层防护工具(如OpenRASP)实拦截恶意行为: ```yaml # 配置规则示例(检测恶意ObjectInputStream) - hook: java/lang/ObjectInputStream.resolveClass action: block conditions: - class_exists: ysoserial.PayloadObject ``` 3. **网络层隔离** - 通过防火墙限制WebLogic端口(7001)的访问源: ```bash # 只允许管理IP访问 iptables -A INPUT -p tcp --dport 7001 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 7001 -j DROP ``` --- ### 三、持续监控与响应 1. **日志审计** - 监控`AdminServer.log`中的反序列化异常: ```bash grep "DeserializationException" $DOMAIN_HOME/servers/*/logs/*.log ``` - 告警关键词:`ClassCastException`, `InvalidObjectException` 2. **文件完整性校验** - 定期检查核心文件哈希值: ```bash # 生成基准哈希 sha256sum $ORACLE_HOME/wlserver/server/lib/weblogic.jar > baseline.sha256 # 定期对比 sha256sum -c baseline.sha256 ``` 3. **最小权限原则** - WebLogic进程以非root用户运行: ```bash chown -R weblogic:weblogic $DOMAIN_HOME ``` --- ### 四、防御效果验证 1. **漏洞扫描工具** - 使用Nmap检测漏洞状态: ```bash nmap -sV --script=weblogic-vuln-cve-2023-21839 <target_ip> ``` 2. **模拟攻击测试** - 通过ysoserial发送无害payload验证防护: ```bash java -jar ysoserial.jar CommonsCollections1 "id" | curl -X POST --data-binary @- http://target:7001/_async/ ``` - **预期结果**:返回`403 Forbidden`或拦截日志 > **关键提示**:防御需覆盖**开发-部署-运行**全生命周期,补丁更新是最有效手段[^2][^4]。对于无法停机的系统,至少需禁用T3协议并启用反序列化过滤器[^3]。 --- ### 防御框架对比 | 措施 | 实施难度 | 防护效果 | 适用场景 | |---------------------|----------|----------|------------------| | 协议禁用 | ★☆☆☆☆ | ★★★★☆ | 所有版本 | | 反序列化过滤器 | ★★★☆☆ | ★★★★★ | WebLogic 10.3.6+ | | RASP运行防护 | ★★★★☆ | ★★★★★ | 关键业务系统 | | 网络隔离 | ★★☆☆☆ | ★★★☆☆ | 云环境/物理服务器| ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值