rmi 反序列化漏洞_Java安全之RMI反序列化

Java安全之RMI反序列化

0x00 前言

在分析Fastjson漏洞前，需要了解RMI机制和JNDI注入等知识点，所以本篇文来分析一下RMI机制。

在Java里面简单来说使用Java调用远程Java程序使用的就是RMI，调用C的程序调用的是JNI，调用python程序使用到的是Jython。RMI、JNI、Jython，其实在安全中都能发挥比较大的作用。 JNI在安全里面的运用就比较大了，既然可以调用C语言，那么后面的。。自行脑补。这个暂且忽略不讲，后面再说。如果使用或了解过python编写burp的插件的话，对这个Jython也不会陌生，如果说pthon的插件就需要安装一个Jython的jar包。这个后面再说。这里主要讲RMI，该机制会在反序列化中频繁运用，例如Weblogic的T3协议的反序列化漏洞。

概念

在了解RMI前还需要弄懂一些概念。

RMI(Remote Method Invocation，远程方法调用)是用Java在JDK1.2中实现的，它大大增强了Java开发分布式应用的能力。

Java本身对RMI规范的实现默认使用的是JRMP协议。而在Weblogic中对RMI规范的实现使用T3协议。

JRMP：Java Remote Message Protocol ，Java 远程消息交换协议。这是运行在Java RMI之下、TCP/IP之上的线路层协议。该协议要求服务端与客户端都为Java编写，就像HTTP协议一样，规定了客户端和服务端通信要满足的规范。

RMI可以使用以下协议实现：

Java远程方法协议(JRMP)：专门为RMI设计的协议

Internet Inter-ORB协议(IIOP)：基于CORBA实现的跨语言协议

JNDI :Java命名和目录接口(the Java naming and directory interface，JNDI)是一组在Java应用中访问命名和目录服务的API。命名服务将名称和对象联系起来，使得读者可以用名称访问对象。目录服务是一种命名服务，在这种服务里，对象不但有名称，还有属性。

0x01 RMI作用

RMI概述

RMI(Remote Method Invocation)为远程方法调用，是允许运行在一个Java虚拟机的对象调用运行在另一个Java虚拟机上的对象的方法。 这两个虚拟机可以是运行在相同计算机上的不同进程中，也可以是运行在网络上的不同计算机中。

在

不同于socket,RMI中分为三大部分：Server、Client、Registry 。

Server: 提供远程的对象

Client:调用远程的对象

Registry:一个注册表，存放着远程对象的位置(ip、端口、标识符)

RMI基础运用

前面也说过RMI可以调用远程的一个Java的对象进行本地执行，但是远程被调用的该类必须继承java.rmi.Remote接口。

定义一个远程的接口

package com.rmi;

import java.rmi.Remote;

import java.rmi.RemoteException;<