这是代码审计知识星球中Java安全的第六篇文章
上一篇我们详细说了如何利用codebase来加载远程类,在RMI服务端执行任意代码。那么,从原理上来讲,codebase究竟是如何传递进而被利用的呢?
我们曾在第4篇文章抓过RMI的数据包,当时通过数据包简单梳理了RMI通信的组成部分与过程。这次我们尝试抓取了上一篇文章中攻击RMI的数据包,当然也有2个TCP连接:
本机与RMI Registry的通信(在我的数据包中是1099端口)
本机与RMI Server的通信(在我的数据包中是64000端口)
我们用tcp.stream eq 0
来筛选出本机与RMI Registry的数据流:
可见,在与RMI Registry通信的时候Wireshark识别出了协议类型。我们选择其中序号是8的数据包,然后复制Wireshark识别出的Java Serialization
数据段:
这段数据由0xACED开头,有经验的同学一眼就能看出这是一段Java序列化数据。我们可以使用SerializationDumper工具(https://github.com/NickstaDB/SerializationDumper)对Java序列化数据进行分析:
SerializationDumper输出了很多预定义常量,像TC_BLOCKDATA
这种,它究竟表示什么意思呢?此时我们还得借助Java序列化的协议文档:https://docs.oracle.com/javase/8/docs/platform/serialization/spec/protocol.html
这篇文档里用了一种类似BNF(巴科斯范式)的形式描述了序列化数据的语法,比如我们这里的这段简单的数据,其涉及到如下语法规则:
stream:
magic version contents
contents:
content
contents content
content:
object
blockdata
object:
newObject
newCla