Java RMI 调用链与源码解析

最新推荐文章于 2024-07-01 03:18:11 发布
最新推荐文章于 2024-07-01 03:18:11 发布
阅读量639 收藏
点赞数
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: java jvm 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/126160669
版权
本文深入探讨Java RMI的调用流程、攻击历史和源码解析,涉及RMI registry、UnicastRef、DGC等方面。重点讨论了RMI的安全问题,包括JEP290的反序列化数据过滤以及如何绕过限制,同时阐述了RMI流量特点和Registry源码。此外,文章还介绍了DGC的脏与清理操作,以及MarshalOutputStream在序列化中的角色。
摘要由CSDN通过智能技术生成

本篇简单说一下RMI的调用流程和攻击历史,以及分析RMI的JDK源码,对于RMI攻击的各种反序列化并不做过多的分析。

关于JDK源码,详情请参考:https://github.com/frohoff/jdk8u-jdk/tree/master/src/share/classes

1. RMI调用流程

RMI(Remote Method Invocation,远程方法调用),可以引用远程主机上对象的方法,在分布式领域应用广泛。RMI总的来说可以分为:RMI Client、RMI registry、RMI Server(有的代码中把registry和Server合成了一个)。

(1)首先远程主机(RMI Server)会向RMI注册表(RMI Registry)中注册对象,给对象绑定一个名称,例如Hello代表RemoteA对象

创建对象:既然要注册一个对象,那么远程主机Server上首先要有一个对象。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Java应用的方法调用链分析插件
qq_38504890的博客
02-06 5328
很多新人进入一家新公司后,最头疼的就是如何快速了解公司的业务和项目架构。 因为文档很少,没有文档,或者是文档严重落伍, 根本没法看;如果你碰到一个特别热心的老员工,事无巨细地给你讲,随时在你身边答疑解惑, 那简直是天大的好运气, 现实是大家都很忙,没人给你讲解。 很快就要深入项目做开发了,怎么办呢? 我在加入新公司后,就遇到了悲催的情况。在那时,我就诞生了做一款可视化方法调用链分析插件的想法...
执行java_java 方法调用
weixin_28523493的博客
02-25 1917
缘起对所有的调用做入参拦截,为了更便于查阅,希望可以得到方法的签名( MethodSignature ).一、AOP此时,想获取拦截的方法名称较为简单。@Around("pointcut()")public Object introcepter(ProceedingJoinPoint pjp) throws Throwable{System.out.println("拦截到了" + pjp.get...
(转)通用JAVA RMI服务器框架
04-01
NULL 博文接:https://eric-gcm.iteye.com/blog/1428779
RMI协议解析
06-01
NULL 博文接:https://daysinsun.iteye.com/blog/2113486
java如何查看调用
最新发布
weixin_40458444的博客
07-01 17
调试相关视频讲解:C语言程序设计入门之环境安装Java如何查看调用Java开发中,查看调用是非常重要的,它可以帮助我们快速定位问题的根源。Java提供了一些工具和技术来帮助我们查看调用,下面我们将介绍几种常用的方法。 1. 使用日志输出 在Java程序中,我们可以通过在关键位置添加日志输出来查看方法的调用。通...
Istio调用埋点原理剖析—是否真的“零修改”?
cpongo5
11-29 589
前言在Istio的实践中最近经常被问到一个问题,使用Istio做调用用户的业务代码是不是完全0侵入,到底要不要修改业务代码?看官方介绍:Istio makes it easy to create a network of deployed services with load balancing, service-to-service authentication, monitoring, an...
RMI源码调试
洋洋的小黑屋
07-24 261
RMI漏洞时候,对其漏洞原理并不是很理解,所以简单调试了下源码加强下漏洞理解 由于要调试到RegistryImpl_Stub这种动态类,刚开始用的源码版本是JDK8u141,后来发现源码有些地方进行了修改,故此换回了JDK 7u80 以下是源码版本JDK 7u80的源码 创建注册中心 createRegistry Registry registry = LocateRegistry.createRegistry(1099); 从上面这句代码入手,追溯下去,可以发现服务端创建了一个RegistryImpl
java 方法调用_简谈 JavaScript、Java式方法调用大致实现原理
weixin_42403124的博客
02-13 691
相信,在 JavaScript 、C# 中都见过不少式方法调用,那么,其中实现该类调用原理,大家有没有仔细思考过?其中 JavaScript 类库:jQuery 中就存在大量例子,而在 C# 中,其中 lambda 表达式的大量使用以及扩展方法的新增,使调用也见的不少。首先,就谈谈 JavaScript 中调用,其实,也是就是运用之前提及的 this 。var Person=func...
java类库源码
05-14
2. **javax** 包:这个包通常包含扩展的Java标准API,比如 Swing(用于图形用户界面)、JDBC(Java数据库连接)、RMI(远程方法调用)和XML处理(如SAX, DOM解析器)。JDK1.6的javax源码能让我们深入了解这些高级...
dubbo源码解析
11-12
《Dubbo源码解析》是一本深度探讨Dubbo框架核心机制的专业资料,旨在帮助开发者深入理解这个高性能、轻量级的Java开源RPC框架。Dubbo是阿里巴巴贡献的著名微服务框架,广泛应用于大型互联网公司的服务治理。随着...
java remote远程调用对象方法
03-17
Java Remote Method Invocation (Java RMI) 是一种在分布式环境中实现对象间远程调用的技术。它允许Java应用程序在不同的网络节点上执行方法,就像这些方法是在本地对象上调用一样。RMIJava平台的一个核心特性,它...
JAVA】-调用设计demo
01-20
JAVA】-调用设计demo1-JAVA调用1-1 执行1-2 执行者1-3 程序调用者,执行的主要实现1-4 程序调用者,执行的主要实现 1-JAVA调用 1-1 执行 主要作用是执行 public interface ExectorChain { void execute(); } 1-2 执行者 执行上的元素,主要是执行动作的具体实现 public interface Executor{ void execute(ExectorChain chain); } 1-3 程序调用者,执行的主要实现 public class
静态调用路发现”在APM中的应用场景分析及实践探索
06-29
近年来,APM进入了一个高速发展的快车道,分布式环境下的应用自动发现及动态调用路分析作为APM的核心功能在APM的推广中也获得了广泛的使用,但在实践中,也暴露出了一些不足:完全基于运行态的分析模式决定了其只能获取到有实际调用的逻辑路,大量没有埋点或未被触发的调用逻辑则成了“失落的世界”,无法触碰。 寻找这部分“失落的世界”对我们了解分布式环境下的应用全貌至关重要,天弘基金移动平台团队在这方面做了一些创新性的探索,我们跳出了传统APM的惯性思维,通过对海量代码中的调用关系的扫描分析来获取分布式环境下“前中后”台的完整调用路,并在此基础上叠加动态调用来构建精细化的APM监控。 通过本专题,我将基于我们的实践来详细介绍“静态调用路发现”的技术与手段,并探索运维及开发场景中如何将它和现有的APM能力进行结合。 -->听众受益: 1、了解分布式环境下APM的“优”与“缺”。 2、了解构建“静态调用路发现”能力的技术与手段。 3、了解如何用创新性的思维拓展APM的应用场景。 -->个人简介: 李鑫,天弘基金(余额宝)移动平台首席架构师,负责移动平台总体技术架构设计。曾任当当网架构师,负责电商后端运作产品平台整体技术架构和研发团队管理;华为云计算专家,主导了华为软件多款云计算产品和服务的设计规划和构建工作。 个人技术涉及大规模分布式应用及治理、中间件云化及服务化(PaaS)、APM 监控、基础开发平台等领域,有多年大规模复杂系统架构实践经验。
斯坦福的句法分析器及在java调用的源代码
09-02
一个斯坦福的句法分析器包stanford-parser.jar,以及在java工程中加载汉语句法分析器模型包和英语句法分析器模型的调用源程序
Java中的方法调用过程分析
qq_35892775的博客
10-28 463
假设调用x.f(args),隐式参数x声明为类C的一个实例对象: 1.编译器查看对象的声明类型和方法名。例如,可能存在方法f(int)和方法f(String)。编译器将会一一列举出所有该类中名为f的方法和其超类中访问属性为public且名为f的方法。 2.编译器将查看调用方法时提供的参数类型。如果在所有名为f的方法中存在一个与提供的参数类型完全匹配,就选择这个方法。这个过程称为重载解析。 3...
java式编程_Java式编程调用解析
weixin_29679557的博客
02-12 180
public class User {private int id;private String userName;private String password;private int age;private List keys;private Map maps;public static void main(String[] args) {User user = builder().age(1...
Spring源码调用链分析篇(一)
dianhua18682411831的博客
08-29 649
文章目录回顾:1、 AnnotationConfigApplicationContext 回顾: 上一篇:讲到了,用IDEA与gradle构建spring5,然后我们在编译spring源码。并且做了测试。还没有源码的大哥可以去看一下,或者直接下载,博主编译好的源码与测试类。本篇主要对spring源码分析! 1、 AnnotationConfigApplicationContext 1、这个类,就是spring的注解配置应用程序上下文。这个类就是初始化spring的应用环境。相信大家对这个类都很熟悉。那么接下
rxjava 工作原理分析 调用链分析
buyaoshitududongwo的博客
07-28 538
rxjava调用 原理 分析
Java反射机制深度解析与应用示例
"Java反射机制详解,通过源码和API介绍深入理解反射" Java反射机制是Java编程语言中的一个重要特性,它允许程序在运行时检查类的信息,包括类的属性、方法、构造器等,并能动态地调用对象的方法。这使得Java具有了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值