Registry与DGC的攻击利用

已于 2023-08-31 21:06:33 修改
阅读量375 收藏
点赞数
分类专栏: java安全 文章标签: 安全 web安全 java
于 2023-03-05 18:02:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/129348793
版权

0x01 Registry

Registry指的是RMI的注册表,攻击的目标是注册表所在的机器,一般注册表和RMI Server在同一个机器上,特殊情况下也会在不同机器上。

在我们通过LocateRegistry#getRegistry获取到目标开启的注册表之后,可以通过Registry#bind方法绑定一个对象到注册表上,而我们绑定的对象传送到目标机器上之后会对其进行一个反序列化。

反序列化触发点在RegistryImpl_Skel#dispatch方法上。

在这里插入图片描述
同样的,在获取到开启的注册表之后,可以通过rebind/lookup方法触发反序列化链,因为rebind/lookup方法传递对象过去之后目标也会对其进行反序列化。

漏洞点同样发生在RegistryImpl_Skel#dispatch方法上,其实dispatch这个方法就是通过一个switch来判断是bind/lookup/rebind等操作中的哪个,对应的case为如下。

在这里插入图片描述0

可以看到rebind/lookup操作都会触发反序列化

在这里插入图片描述

0x02 Registry修复

在JDK8u232_b09版本之前对Registry被攻击有两处修复,第一处修复是在JDK8u121之后对注册表可以反序列化的类进行了一个限制,是一个白名单的限制。实现限制的方法为RegistryImpl#registryFilter。(这里是 JEP290的防御操作

return String.class != var2 && !Number.class.isAssignableFrom(var2) && !Remote.class.isAssignableFrom(var2) && !Proxy.class.isAssignableFrom(var2) && !UnicastRef.class.isAssignableFrom(var2) && !RMIClientSocketFactory.class.isAssignableFrom(var2) && !RMIServerSocketFactory.class.isAssignableFrom(var2) && !ActivationID.class.isAssignableFrom(var2) && !UID.class.isAssignableFrom(var2) ? Status.REJECTED : Status.ALLOWED;

第二处修复是在JDK8u141之后,在JDK8u141之前bind/rebind/lookup都可以触发反序列化,但在此版本之后对bind/rebind的case语句块进行了修改,在反序列化前增加了一个检查,检查调用bind/rebind的机器是否为本地,限制了调用源只能是本地。

在这里插入图片描述<

最低0.47元/天 解锁文章
0x6b79
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
registry-images
05-09
registry-images
docker registry离线镜像
04-03
docker官方镜像仓库registry离线包,使用docker load -i registry.tar
设置rmi引用的fullGC(DGC)的执行频率
Tomcat那些事儿
06-09 1884
经常在应用服务器的启动脚本中看到这样的配置: -Dsun.rmi.dgc.client.gcInterval=3600000 该配置的作用是 [quote] One of the most commonly encountered uses of explicit garbage collection occurs with RMI's distributed garbage collec...
java rmi register反序列化攻击
Shanfenglan's blog
12-16 1843
文章目录1. 前言2. 利用参考文章 1. 前言 被攻击的是 rmi register服务端,一般在1099端口。如果遇见了暴露的1099端口可以尝试攻击一下。 2. 利用 报错不用管,命令会正常执行 报错不用管,命令会正常执行 #发送给服务器payloads/JRMPLIstener数据,rmi服务器会开启一个服务,攻击者使用JRMPClient与这个服务进行通行进而进行命令执行。 条件jdk<=jdk8u111 java -cp ysoserial.jar ysoserial.exploit.J
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4424
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
log4j远程安全漏洞复现讲解
dfBeautifulLive的博客
12-21 489
这一阵log4j安全问题闹的沸沸扬扬的,我也在纳闷呢什么是远程安全漏洞,怎么就通过log日志打印就出现安全问题呢,看视频,自己想,大概知道什么是什么了 就是说假如黑客有一个自己的服务比如用java写了一个rmi(也是一种通信协议)然后这个服务一直启动,受害者的服务程序呢用log4j打印是一个外部传进来的比如参数,这个时候还用的是有bug版本,并且java版本默认是支持打开rmi协议的,此时就会出现我传进来一个参数,这个参数用ip和端口访问黑客系统,此时就会变成打印log日志就会直接调用黑客的方法并转到自己
Java学习笔记之RMI远程方法调用
黎明就要到来
06-11 3574
RMI 应用通常有两个分开的程序组成,一个服务端程序和一个客户端程序。一个典型的服务端程序创建一些远程对象,使得对这些远程对象的引用可以被访问,等待客户端调用这些远程对象提供的方法。一个典型的客户端程序获取远程引用,指向一个或者多个服务端上的远程对象,然后调用这些远程对象所提供的方法。通常我们称这为分布式对象应用程序。3.1 RMI的工作方式分布式对象应用程序需要做的事情:l 查找(
每天十道面试题之性能篇(二)
Rubik Blog
08-12 153
本期面试题 简述垃圾回收机制 如何判断一个对象是否存活(或GC对象的判定方法) 垃圾回收的优点和原理,并考虑两种回收机制 垃圾回收器的基本原理是什么,垃圾回收器可以马上回收内存吗?有什么办法主动通知虚拟机进行垃圾回收? java中会存在内存泄漏吗?请简单描述 深拷贝和浅拷贝 system.gc()和Runtime.gc()会做什么事情? finalize()方法什么时候被调用?析构函数(finalization)的目的是什么? 如果对象的引用被置为null,垃圾收集器是否
JDK RMI框架及相关技术综述
bigboy909的专栏
03-18 216
1.RMI基本原理  RMI框架为远程对象分别生成了客户端代理和服务端代理。(HelloWorld的实例中可以看到客户端端的远程对象为代理类。)位于客户端的代理类称为存根STUB,服务端的代理类称为骨架SKELETON。存根与骨架通过SOCKET进行通信。服务端与客户端之间传送的方法参数或返回值,必须是远程对象(Remote接口也集成Serializable接口)、可序列化对象、基本类型。 ...
ZHUCEBIAO.rar_registry
09-24
本资源"ZHUCEBIAO.rar_registry"提供了一份关于如何在Delphi中操作注册表的详细指南,主要针对初学者。 Delphi是一款强大的面向对象的 Pascal 编程环境,它提供了丰富的组件库,使得开发者可以方便地与Windows API...
hypod:Imagene Registry的云服务
04-09
imagene registry是container registry的重命名,因为实际上,注册表是“映像”,可运行程序包之一,而不是“容器”,正在运行的程序包之一,并且因为软件“映像”是一个不好的名字,因为它的本质没有任何视觉效果...
registry.tar
09-04
docker registry image,docker 私有仓库搭建所需镜像。docker load -i registry ,解压镜像包。
RMI规范(9)
morningbird的专栏
07-24 754
第 9 章 本章中的接口和类用于 RMI 的分布式垃圾收集器 (DGC)。 主题: 接口 DGC Lease 类 ObjID 类 UID 类 VMID 类 9.1 接口 DGC DGC 抽象用于分布式垃圾收集算法的服务器端。此接口包含两种方法:dirty 和 clean。当远程引用在客户机(客户机由 VMID 表示)端解编时,将调用 dirty 。当客户机中不再存在对远程引用的引用时,将进
rmi参数
金溪的博客
01-22 1170
  sun.rmi.dgc.checkInterval 查询契约间隔时间,单位为ms,默认值 是java.rmi.dgc.leaseValue值的一半。 优化:尽早的删除引用有利于管理内存,但leaseValue太短的话又会造成网络风险。 java.rmi.dgc.leaseValue 契约时间,ms,默认值是10min。 sun.rmi.dgc.server.gcInterval ms,...
RMI的分布式垃圾回收
frivol的专栏
03-27 2103
好久以前看过DGC,当时没有记录下来,看到IBM写的简介还不错,特转载。又简单看了一下DGCClient源码,有个疑问:为什么不用WeakReference,而是写一个PhantomReference的子类,然后在子类中引用RefEntry.this? 其实RefEntry中持有的是一个LiveRef的clone,而LiveRef就是PhantomReference的引用对象。
RMI 各参数意义及其优化方案
zhouyi_cute的专栏
09-03 2180
根据RMI参数意义,可以归结为以下几点,我们可以根据这几点通过优化GC, 网络等待,流传输协议(http/rmi special socket)等方面来优化RMI。同时,根据RMI的若干log配置,可以做到实时监控RMI网络,GC信息,针对实时监控的情况,有效地优化RMI参数设置。sun.rmi.dgc.checkInterval查询契约间隔时间The value of
jdk解决反序列化的方法
一个码农的笔记
11-08 3661
123
客户端与服务器通讯详解(5):安全威胁与应对策略
最新发布
贝格前端工场的博客
07-23 258
在进行客户端与服务器通讯的时候,要时刻防范安全威胁,后端有一句名言“永远不要相信用户在前端的输入”,就是说客户端和服务器之间通讯,必须有严密的规则。
registry与zookeeper
05-16
Registry和Zookeeper都是分布式系统中的服务注册中心,但它们有一些不同之处。 Registry通常用于服务发现和负载均衡。它可以帮助客户端找到可用的服务实例,并将请求路由到这些实例中的某一个。Registry还可以提供服务的元数据,例如服务的版本号、协议等。 Zookeeper也可以用作服务注册中心,但它还具有更广泛的用途,例如分布式锁、协调等。Zookeeper提供了一个分层的命名空间,可以进行节点管理和数据存储。它还可以监控节点状态的变化,并在节点状态发生变化时触发通知。 总的来说,Registry更专注于服务注册和发现,而Zookeeper则提供了更广泛的分布式协调和管理功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值