预备知识
主要是利用IIOP协议进行的攻击。该漏洞原理上类似于RMI反序列化漏洞(CVE-2017-3241),和之前的T3协议所引发的一系列反序列化漏洞也很相似,都是由于调用远程对象的实现存在缺陷,导致序列化对象可以任意构造,并没有进行安全检查所导致的。
从0开始学习复现这个洞不免又会设计到Java反序列化漏洞中那些老生常谈的名词理解,涉及到Java反序列化中的一些协议、行为、结构。
RMI、JRMP
Remote Method Invocation,远程方法调用:Java中的一个RPC服务实现,底层的协议是JRMP协议,功能也好理解,让你可以远程调用对象就像在本地调用一样,你可以参照点外卖,把外卖(对象)叫到你家里(本地客户)使用。
Java Remote Method Protocol,Java远程方法协议:Java远程方法协议 JRMP是一个协议,是用于Java RMI过程中的协议,只有使用这个协议,方法调用双方才能正常的进行数据交流。
LDAP
Lightweight Directory Access Protocol ,轻型目录访问协议,主要充当目录服务的协议,这个在后面测试中也常会看到L