Java安全漫谈 - 06.RMI篇(3)

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量941 收藏 2
点赞数
文章标签: java jvm 编程语言 rpc css
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asasd101/article/details/110379668
版权

这是代码审计知识星球中Java安全的第六篇文章


上一篇我们详细说了如何利用codebase来加载远程类,在RMI服务端执行任意代码。那么,从原理上来讲,codebase究竟是如何传递进而被利用的呢?

我们曾在第4篇文章抓过RMI的数据包,当时通过数据包简单梳理了RMI通信的组成部分与过程。这次我们尝试抓取了上一篇文章中攻击RMI的数据包,当然也有2个TCP连接:

  1. 本机与RMI Registry的通信(在我的数据包中是1099端口)

  2. 本机与RMI Server的通信(在我的数据包中是64000端口)

我们用tcp.stream eq 0来筛选出本机与RMI Registry的数据流:

可见,在与RMI Registry通信的时候Wireshark识别出了协议类型。我们选择其中序号是8的数据包,然后复制Wireshark识别出的Java Serialization数据段:

这段数据由0xACED开头,有经验的同学一眼就能看出这是一段Java序列化数据。我们可以使用SerializationDumper工具(https://github.com/NickstaDB/SerializationDumper)对Java序列化数据进行分析:

SerializationDumper输出了很多预定义常量,像TC_BLOCKDATA这种,它究竟表示什么意思呢?此时我们还得借助Java序列化的协议文档:https://docs.oracle.com/javase/8/docs/platform/serialization/spec/protocol.html

这篇文档里用了一种类似BNF(巴科斯范式)的形式描述了序列化数据的语法,比如我们这里的这段简单的数据,其涉及到如下语法规则:

stream:
  magic version contents


contents:
  content
  contents content


content:
  object
  blockdata
  
object:
  newObject
  newCla
最低0.47元/天 解锁文章
落沐萧萧
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
p牛java安全漫谈学习笔记(3)_CommonsCollections1(cc1)分析
qq_35976649的博客
04-06 4227
cc1链(jdk6) 简化cc1-仿 使用p牛的简化cc1进行分析: package ysoserial.payloads; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import
p牛java安全漫谈学习笔记(1)_反射与RMI(基础)
qq_35976649的博客
04-06 4160
关于反射 获取类的⽅方法: forName 实例例化类对象的⽅方法: newInstance 获取函数的⽅方法: getMethod 执⾏行行函数的⽅方法: invoke public class TrainPrint { { System.out.printf("Empty block initial %s\n", this.getClass()); } static { System.out.printf("Static initial %s\n", TrainPrint.class); } publ
Java安全漫谈 - 02.反射(2)1
08-03
不过,我们有时候在写漏洞利用方法的时候,会发现使用 newInstance 总是不成功,这时候原因可能是:1. 你使用的类没有无参构造函数2. 你使用的类构造函
JAVA安全JAVA服务器安全漫谈
swordheart的博客
04-25 1004
0x00 前言 本文主要针对JAVA服务器常见的危害较大的安全问题的成因与防护进行分析,主要为了交流和抛砖引玉。 0x01 任意文件下载 示例 以下为任意文件下载漏洞的示例。 DownloadAction为用于下载文件的servlet。 1 2 3 4 5 6 7 8 9 10 11 12 13 <code>#!html <servlet>
JavaThings:共享与Java相关的东西-Java安全漫谈笔记相关内容
02-06
JavaThings-Java安全漫谈笔记相关 《 Java安全漫谈》是我在写的一点Java学习相关的随笔,不是很严谨,也不是啥高科技。这个存储库主要是记录并整理一下,附加一些代码。 Java安全漫谈目录 人口统计 字节码: 远程字节码加载: 系统默认的defineClass加载字节码演示: 使用TemplatesImpl加载字节码演示: 使用BCEL加载字节码: 反序列化: 最简单的Transformer演示: 我简化的 ,更方便大家理解 利用TemplatesImpl构造的Transformer演示: 无InvokerTransformer的Transformer演示: 我
Java安全漫谈 - 06.RMI(3)1
08-03
Java安全漫谈 - 06.RMI(3)深入探讨了Java远程方法调用(RMI)中的安全问题,特别是利用Java序列化协议来执行远程代码。在RMI服务中,codebase机制允许加载远程类,从而可能引发安全风险。本文通过分析网络数据包,...
Java安全漫谈 - 05.RMI(2)1
08-03
原因是,通常我们在新建一个RMI Registry的时候,都会直接绑定一个对象在上面,也就是说我们示例代码中的Server其实包含了Registry和Serve
Java安全漫谈 - 04.RMI(1)1
08-03
Java安全漫谈 - 04.RMI(1)1
java-applet-soket-rmi.rar_websign.html
09-20
3. **安全问题**:由于Applet运行在客户端,与RMI交互可能涉及敏感数据或操作,因此必须处理好权限问题。通常需要签署Applet,以授予它更多的权限。 4. **Java Socket通信**:在RMI之外,项目也可能使用了Java的...
java-rmi.zip_RMI java_rmi
09-14
7. **安全性**:RMI支持基于Java安全模型的安全策略。通过设置权限、签名和证书,可以限制远程对象的访问权限。 8. **并发和线程**:由于RMI调用可能在不同的线程中执行,因此开发者需要考虑线程安全问题,特别是在...
Java安全漫谈 - 01.反射(1)1
08-03
Java安全漫谈 - 01.反射(1)1
Java安全漫谈 - 03.反射(3)1
08-03
对于可变长参数,Java其实在编译的时候会编译成一个数组,也就是说,如下这两种写法在底层是等价的(也就不能重载):也由此,如果我们有一个数组,想传给hello函
p牛java安全漫谈学习笔记(2)_反序列化与urldns链(基础)
qq_35976649的博客
04-06 4312
关于反序列化 ysoserial下载分析地址:https://github.com/frohoff/ysoserial php反序列化主要是魔术方法,与java反序列化类似,主要是把对象进行json或者xml的序列化和反序列化。 php主要是可以控制对象的属性利用控制的对象的属性在后续代码中进行危险操作 java的话是因为很多反序列化的代码是由开发者进行开发的,再加上java的应用十分广泛,所以java的反序列化攻击面为最广的。 python的话p牛只提了一嘴,大致意思就是python反序列化是在执行基于栈
Java安全第一 | 反射看这一就够了
weixin_48202759的博客
03-21 3579
什么是反射? 文章首发个人公众号 《小艾搞安全Java安全可以从反序列化漏洞说起,反序列化漏洞又可以从反射说起。反射是⼤多数语⾔⾥都必不可少的组成部分,对象可以通过反射获取他的类,类可以通过反射拿到所有⽅法(包括私有),拿到的⽅法可以调⽤,总之通过“反射”,我们可以将Java这种静态语⾔附加上动态特性。可能说完这一两句话大家还是不知道反射是个啥玩意,现在为了让大家容易理解,先为大家提出一个需求,通过这个需要来引出反射。需求如下: 根据配置文件re.properties指定信息,创建对象并调用方法。 cl
安全角度谈Java反射机制--前章
Summer's blog
05-13 6586
安全角度谈Java反射机制第二章,从代码执行角度剖析Java反射机制。
安全角度谈Java反射机制--序章
Summer's blog
05-13 4428
安全角度谈Java反射机制第一,一共三由浅入深,一点点剖析Java的反射机制。
Java 安全研究初探
有价值炮灰
04-03 248
Java 安全,通常指代的是 Java Web 安全。在刚开始学习的一段时间里,面对众多的框架和名词,比如 Spring、Weblogic、EJB、AKB,等等,总感觉狗啃泰山无从下嘴。于是就有了这文章,旨在记录学习过程中遇到的所有问题,希望也能对像我一样的初学者有所帮助。
Java安全入门
Yb_140的博客
10-14 1358
Java安全入门
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 312
1.导入hutool的maven依赖。2.复制一下代码执行。
java -Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.port=9010 -Dcom.sun.management.jmxremote.local.only=false -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.ssl=false -Djava.rmi.server.hostname=127.0.0.1 -jar httpUtil.jar
06-08
- `-Djava.rmi.server.hostname=127.0.0.1`:配置 JMX 监控使用的主机名为 127.0.0.1。 - `-jar httpUtil.jar`:启动 httpUtil.jar 应用程序。 这些参数配置可以让你在应用程序运行时通过 JMX 监控工具(如 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值