Java反序列化 (之) RMI反序列化

最新推荐文章于 2024-07-19 16:27:31 发布
最新推荐文章于 2024-07-19 16:27:31 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Java 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41918771/article/details/121807687
版权
本文详细介绍了Java的RMI(远程方法调用)机制,包括其工作原理、组件以及使用过程。通过流量分析揭示了RMI中的序列化和反序列化过程,并探讨了RMI的安全隐患,如攻击Registry、codebase动态类加载可能导致的任意命令执行漏洞。文章还通过实例展示了如何直接攻击RMI服务端,讨论了攻击条件和防范措施。
摘要由CSDN通过智能技术生成

前言

也是从接触fastjson的时候才接触RMI这个东西。也经常与JNDi搞混。这篇文章先分析RMI的底层,等研究过了再加上。

什么是RMI

RMI即远程方法调用,通俗的来说就是客户端可以调用服务端的方法。和RPC差不多,RMI是java独立实现的一种机制。

RMI使用赖的通信协议为JRMP(Java Remote Message Protocol ,Java 远程消息交换协议),该协议为Java定制,要求服务端与客户端都为Java编写。

RMI分为三个主体部分:摘自https://xz.aliyun.com/t/6660#toc-5

  • Client-客户端:客户端调用服务端的方法
  • Server-服务端:远程调用方法对象的提供者,也是代码真正执行的地方,执行结束会返回给客户端一个方法执行的结果。
  • Registry-注册中心:其实本质就是一个map,相当于是字典一样,用于客户端查询要调用的方法的引用。

使用RMI

服务端:
1.首先创建一个接口。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Bog0n
关注
专栏目录
订阅专栏
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
Javaweb安全——RMI反序列化
weixin_43610673的博客
04-13 1289
RMI RMI(Remote Method Invocation)即Java远程方法调用,RMI用于构建分布式应用程序,类似于RPC(Remote Procedure Call Protocol)远程过程调用协议,RMI实现了Java程序之间跨JVM的远程通信,使得一个JMV上的对象可以调用另一个JMV上的方法(方法在远程JVM上执行,只是返回运行结果)。这两个JVM可以是运行在相同计算机上的不同进程中,也可以是运行在网络上的不同计算机中。 RMI架构: RMI分为三个主体部分:Client,Server
反序列化RMI分析
m0_61869253的博客
09-14 78
在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本篇文来分析一下RMI机制。在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程序调用的是JNI,调用python程序使用到的是Jython。RMI、JNI、Jython,其实在安全中都能发挥比较大的作用。JNI在安全里面的运用就比较大了,既然可以调用C语言,那么后面的… …自行脑补。这个暂且忽略不讲,后面再说。
RMI反序列化-流程分析
最新发布
07-19 1017
参考RMI应用概述RMIClient首先去rmiregistry注册中心查找,RMIServer开启的端口。之后连接RMIServer。如果在RMIServer中,找不到,还可以去web中查找加载,这也产生了安全隐患。流程图这里引用其他师傅画的流程图,方便理解创建的流程。
RMI反序列漏洞复现-——手把手光速复现,工具超全
weixin_37771454的博客
03-24 3308
RMI反序列漏洞复现-手把手光速复现,工具超全一、靶机部署:二、本机怎样查看是不是可以回显?三、attackRMI利用 RMI是REMOTE METHOD INVOCATION的简称,是J2SE的一部分,能够让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程JAVA对象,可以从另一个JAVA虚拟机上(甚至跨过网络)调用它的方法,可以像调用本地JAVA对象的方法一样调用远程对象的方法,...
Java RMI反序列化总结篇-01
wfz2333的博客
05-14 1219
放一张seebug的图, 所以客户端要访问远程对象就由服务端首先把远程对象注册到注册表,然后客户端先访问注册表拿到远程对象的stub以后,此时就可以像访问本地一样调用远程对象方法,底层由stub再接受客户端的参数和方法,然后就是stub作为代理再帮客户端请求服务端,把参数和方法都发送到服务端服务端接收到参数和方法后,在服务端进行执行,再把返回结果给客户端的stub,stub再给客户端,所以客户端实际上看不到底层的通信逻辑,这种架构设计已经屏蔽了底层通信。
java反序列化-RMI
weixin_40151476的博客
03-04 941
RMI(Remote Method Invocation),远程方法调用。跟RPC差不多,是java独立实现的一种机制。实际上就是在一个java虚拟机上调用另一个java虚拟机的对象上的方法。RMI依赖的通信协议为JRMP(Java Remote Message Protocol ,Java 远程消息交换协议),该协议为Java定制,要求服务端客户端都为Java编写。这个协议就像HTTP协议一样,规定了客户端服务端通信要满足的规范。(我们可以再之后数据包中看到该协议特征)。
java反序列化利用程序UI版Beta1.1.rar
07-20
3. **RMI(远程方法调用)与反序列化**:JavaRMI机制在通信过程中使用了反序列化,攻击者可以通过操纵RMI请求来触发反序列化漏洞。 4. **反射与构造恶意对象**:攻击者可以利用Java的反射API创建和控制反序列化...
深入分析Java的序列化与反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
Java反序列化安全漏洞防控
04-19
Java反序列化安全漏洞是一种严重的安全威胁,它主要发生在Java程序处理序列化数据时。序列化是Java中的一种机制,可以将对象状态转换为字节流,以便存储或传输。反序列化则是将字节流恢复为Java对象的过程。 在Java...
java反序列化rce rmi jrmp jndi 原理
whatday的专栏
12-27 924
RMI攻击主要分3种目标:RMI Client、RMI Server、RMI Registry。使用远程Reference字节码进行攻击。从jdk8u121开始,RMI加入了反序列化白名单机制,JRMP的payload登上舞台,这里的payload指的是ysoserial修改后的JRMPClient。从jdk8u121开始,RMI远程Reference代码默认不信任,RMI远程Reference代码攻击方式开始失效。
java rmi+jndi
Matthew
08-11 516
java rmi+jndi fastjson和这篇文章都是公司内容分享,我要分享的内容 java rmi讲解 https://xz.aliyun.com/t/7930#toc-5 基本知识讲解 在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMIRMI攻击方法、JEP290限制、绕过JEP290限制。 JAVA本身提供了一种RPC框架 RMIJava 远程方法调用(Java Remote Method Invocation),可以在不同的Java 虚拟机之间进行对象间的通讯,R
Java安全学习笔记(一)
qq_36410265的博客
06-20 574
如果上下文中存在某个类的实例,那么我们可以直接通过来获取它的类。 如果你已经加载了某个类,只是想获取到它的 对象,那么就直接 拿它的 class 属性即可。这个⽅法其实不属于反射。 如果你知道某个类的名字,想获取到这个类,就可以使⽤ 来获取 使用不成功的一些原因 你使用的类没有无参构造函数 你使用的类构造函数是私有的 案例 会报错原因是类的构造方法是私有的可以这样 的作用是通过反射获取一个类的特定的公有方法。的作用是执行方法,它的第一个参数是:上述命令执行的payload可以分解为 到这里
JAVA_RMI反序列化远程命令执行漏洞验证
qq_44828901的博客
12-29 5252
简单复现 JAVA RMI反序列化
java反序列化RMI
m0_73973498的博客
02-24 1094
RMI代表远程方法调用(Remote Method Invocation),是Java编程语言中用于实现远程通信的机制。它允许在不同Java虚拟机之间的对象之间进行通信和交互,使得可以在网络上的不同计算机上调用远程对象的方法,就好像是在本地调用一样。而在通信的过程中,就存在序列化和反序列化的过程,如果服务端添加了存在反序列化漏洞的依赖,就可以利用。
rmi 反序列化漏洞_Java安全之RMI反序列化
weixin_35374026的博客
01-13 1197
Java安全之RMI反序列化0x00 前言在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本篇文来分析一下RMI机制。在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程序调用的是JNI,调用python程序使用到的是Jython。RMI、JNI、Jython,其实在安全中都能发挥比较大的作用。 JNI在安全里面的运用就比较大了,既然可以...
【vulhub】Weblogic(CVE-2018-2628)漏洞复现
qq_45300786的博客
04-10 2549
一、什么是WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 先提几个概念 JRMP:java remote method protocol,Java远程方法协议 JRMP是的Java技术协议的具
Java序列化与反序列化详解
"Java序列化(Serializable)是Java平台提供的一种持久化对象状态的机制,主要用于对象的存储、网络传输以及远程方法调用(RMI)。本文将深入探讨Java序列化的作用、应用场景以及实现过程。 1. 序列化的概念与作用 Java...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bog0n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值