java rmi远程方法调用漏洞,JavaRMI服务远程方法调用漏洞如何修复linux系统扫描出来 爱问知识人...

最新推荐文章于 2024-05-12 21:52:27 发布
最新推荐文章于 2024-05-12 21:52:27 发布
阅读量389 收藏
点赞数
文章标签: java rmi远程方法调用漏洞

背景要求:定时监控远程主机上mongodb数据库内存使用的情况,当内存使用过大时暂停逻辑处理线程后启动内存空间的释放处理线程,释放完成后再启动逻辑处理线程。操作系统:CentOS 64bit (Linux)步骤(代码省略):1。创建Socket远程服务器2。

创建客户端  配置:  #查找对象stub端口  RMI_PORT=9902  #服务端口  RMI_SERV_RMI_PORT=9903  #注册服务地址端口要和查找对象stub端口一致  RMI_URL=rmi://192。168。0。118:9902/MongoServer  #绑定IP  RMI_IP=192。

168。0。118  #检查内存shell  RMI_MEMQUERY_COMMAND=sh /home/test/BI/smartshow14/MongoDBRMIServer/memquery。sh  #释放内存shell  RMI_MEMFREE_COMMAND=sh /home/test/BI/smartshow14/MongoDBRMIServer/memclear。

sh  #释放内存容量阀值,单位M  RMI_MEM_CAPACITY_LIMIT=30003。启动服务器客户端线程通过 rmi://192。168。0。118:9902/MongoServer 访问时出现异常:--定时扫描MONGODB内存线程--:开始运行!java。

rmi。UnmarshalException: error unmarshalling return; nested exception is:  java。lang。ClassNotFoundException: com。linkage。iface。

IMongoDBScan (no security manager: RMI class loader disabled) at sun。rmi。registry。RegistryImpl_Stub。lookup(Unknown Source) at java。

rmi。Naming。lookup(Naming。java:84) at com。linkage。querytool。QueryRMICaller。ramCapacityScan(QueryRMICaller。java:87) at com。

linkage。querytool。MongoDBARMScanThread$TimerWorkTask。run(MongoDBARMScanThread。java:94) at java。util。TimerThread。mainLoop(Timer。

java:512) at java。util。TimerThread。run(Timer。java:462)Caused by: java。lang。ClassNotFoundException: com。linkage。iface。IMongoDBScan (no security manager: RMI class loader disabled) at sun。

rmi。server。LoaderHandler。loadProxyClass(LoaderHandler。java:535) at java。rmi。server。RMIClassLoader$2。loadProxyClass(RMIClassLoader。

java:628) at java。rmi。server。RMIClassLoader。loadProxyClass(RMIClassLoader。java:294) at sun。rmi。server。MarshalInputStream。

resolveProxyClass(MarshalInputStream。java:238) at java。io。ObjectInputStream。readProxyDesc(ObjectInputStream。java:1530) at java。

io。ObjectInputStream。readClassDesc(ObjectInputStream。java:1492) at java。io。ObjectInputStream。readOrdinaryObject(ObjectInputStream。

java:1731) at java。io。ObjectInputStream。readObject0(ObjectInputStream。java:1328) at java。io。ObjectInputStream。readObject(ObjectInputStream。

java:350) 。。。 6 more--定时扫描MONGODB内存线程--:处理结束!=======================================================================================================--定时扫描MONGODB内存线程--:开始运行!java。

security。AccessControlException: access denied (java。net。SocketPermission 192。168。0。118:9902 connect,resolve)        at java。

security。AccessControlContext。checkPermission(AccessControlContext。java:374)        at java。security。AccessController。checkPermission(AccessController。

java:546)        at java。lang。SecurityManager。checkPermission(SecurityManager。java:532)        at java。lang。SecurityManager。

checkConnect(SecurityManager。java:1034)        at java。net。Socket。connect(Socket。java:524)        at java。net。Socket。connect(Socket。

java:478)        at java。net。Socket。(Socket。java:375)        at java。net。Socket。(Socket。java:189)        at sun。rmi。transport。

proxy。RMIDirectSocketFactory。createSocket(RMIDirectSocketFactory。java:22)        at sun。rmi。transport。proxy。RMIMasterSocketFactory。

createSocket(RMIMasterSocketFactory。java:128)        at sun。rmi。transport。tcp。TCPEndpoint。newSocket(TCPEndpoint。java:595)        at sun。

rmi。transport。tcp。TCPChannel。createConnection(TCPChannel。java:198)        at sun。rmi。transport。tcp。TCPChannel。newConnection(TCPChannel。

java:184)        at sun。rmi。server。UnicastRef。newCall(UnicastRef。java:322)        at sun。rmi。registry。RegistryImpl_Stub。lookup(Unknown Source)        at java。

rmi。Naming。lookup(Naming。java:84)        at com。linkage。querytool。QueryRMICaller。ramCapacityScan(QueryRMICaller。java:89)        at com。

linkage。querytool。MongoDBARMScanThread$TimerWorkTask。run(MongoDBARMScanThread。java:94)        at java。util。TimerThread。mainLoop(Timer。

java:512)        at java。util。TimerThread。run(Timer。java:462)--定时扫描MONGODB内存线程--:处理结束!============================================================================================================--定时扫描MONGODB内存线程--:开始运行!java。

security。AccessControlException: access denied (java。lang。RuntimePermission createSecurityManager)        at java。security。

AccessControlContext。checkPermission(AccessControlContext。java:374)        at java。security。AccessController。checkPermission(AccessController。

java:546)        at java。lang。SecurityManager。checkPermission(SecurityManager。java:532)        at java。lang。SecurityManager。

(SecurityManager。java:282)        at java。rmi。RMISecurityManager。(RMISecurityManager。java:45)        at com。linkage。querytool。

QueryRMICaller。ramCapacityScan(QueryRMICaller。java:88)        at com。linkage。querytool。MongoDBARMScanThread$TimerWorkTask。

run(MongoDBARMScanThread。java:94)        at java。util。TimerThread。mainLoop(Timer。java:512)        at java。util。TimerThread。

run(Timer。java:462)--定时扫描MONGODB内存线程--:处理结束!==========================================================================================================以上异常都有可能出现,通过以下方式可解除问题:1。

在客户端程序前打开安全管理器:try { System。setSecurityManager(new java。rmi。RMISecurityManager()); mds = (IMongoDBScan) Naming。lookup(urlStr);} catch (MalformedURLException e) { //。

。。。。。。。。。}   2。修改/usr/java/jdk1。6。0_21/jre/lib/security/java。policy后重启 grant {  permission  java。security。AllPermission; }。

全部

助手的小跟班
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java-rmi源码解析
weixin_44627989的博客
06-20 588
title: java-rmi源码解析 欢迎查看Eetal的第二十一篇博客–java-rmi源码解析 相关核心类 sun.rmi.server.UnicastServerRef sun.rmi.server.UnicastRef sun.rmi.server.Util sun.rmi.transport.tcp.TCPEndpoint sun.rmi.transport.LiveRef java...
JAVA-rmi漏洞复现详细过程
weixin_69925635的博客
07-19 545
使用kali linux对metasploittable虚拟机的java-rmi漏洞复现的详细流程
JAVA RMI 反序列化远程命令执行漏洞
热门推荐
LeeHDsniper的博客
05-11 2万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
Java RMI SERVER命令执行漏洞
m0_62670778的博客
05-12 393
RMI全称是Remote Method Invocation(远程方法调用),是专为Java环境设计的远程方法调用机制,远程服务器提供API,客户端根据API提供相应参数即可调用远程方法由此可见,使用RMI时会涉及到参数传递和结果返回,参数为对象时,要求对象可以被序列化。
Java-RMI漏洞利用
2301_76175665的博客
06-16 1538
Java远程方法调用,也就是Java RMI,它是一种机制,允许一个Java虚拟机中的对象去访问和调用另一个Java虚拟机中包含的方法。这与RPC基本相同,但是在面向对象的范例中,而非面向过程,它允许不在同一个地址空间中的Java程序互相通信。192.168.73.130是我们的靶机(metasploitable2),靶机上安装了Java RMI服务(rmiregistry),运行在1099端口上,你也可以通过nmap扫描结果来看这个端口是开放的。在我们的攻击机上使用MSF,搜索java_rmi
java rmi 防火墙_java – Spring:无法从防火墙后面使用RMI连接到JMX Server
weixin_39526872的博客
03-06 203
我的Spring应用程序运行在NAT防火墙(pfSense)后面的机器上.机器的内部IP是a.b.c.d,NAT IP是w.x.y.zSpring配置的serviceUrl在端口1100上设置为我的内部IP(a.b.c.d),当我启动应用程序时,我提供以下开关:-Dcom.sun.management.jmxremote -Djava.rmi.server.hostname=w.x.y.z -Dc...
java rmi远程方法调用漏洞,Java RMI(远程方法调用)示例程序
weixin_42505576的博客
03-10 320
Java RMI(远程方法调用)示例程序Java RMI(远程方法调用)示例程序1. 编写接口import java.rmi.*;public interface HelloIn extends java.rmi.Remote{String sayHello() throws RemoteException;}2. 实现远程接口import java.rmi.*;import java.net.*...
基于java远程桌面 Java Remote Desktop.zip
05-28
Java Remote Desktop中,RMI用于实现客户端和服务器之间的通信,客户端通过调用远程对象的方法来执行在远程计算机上的操作。 2. **Swing或JavaFX**: 这些是Java的图形用户界面(GUI)库,用于构建远程桌面的用户...
基于JAVA CS远程监控系统软件的实现(源代码+论文)
最新发布
05-17
【标题】:“基于JAVA CS远程监控系统软件的实现(源代码+论文)” 这个标题指出的是一个使用Java编程语言开发的客户端-服务器(CS)架构的远程监控系统。该系统可能涉及实时数据采集、设备控制、报警机制以及远程...
基于RMI和Socket的带数据库的java聊天软件 客户端和服务器端
06-15
RMIJava平台内建的一种远程对象调用技术,它允许一个Java对象调用另一个在不同JVM上的对象的方法,非常适合分布式系统中的组件交互。Socket则是Internet协议的基础,它提供了进程间通信的能力,让运行在不同设备上...
基于java的视频会议系统毕业设计与实现(源代码+项目报告).zip
06-16
- **RMI (Remote Method Invocation)**: 可能用于实现客户端与服务器间的远程方法调用,简化分布式系统开发。 - **HTTP/HTTPS**: 用于传输非实时数据,如登录认证、文件上传下载等。 3. **音视频处理** - **JMF ...
Java RMI远程方法调用详解-例子代码
07-22
Java RMI远程方法调用详解-例子代码,例子详解在:http://blog.csdn.net/guyuealian/article/details/51992182
java分布式数据库同步系统(解决中美异地机房).rar
10-20
Java中,可以利用RMI远程方法调用)、JMS(Java消息服务)等技术来实现节点间的通信。 2. 数据库复制:数据库复制是实现异地机房同步的关键,它包括主从复制、双活复制等多种模式。主从复制中,一台服务器作为...
Java RMI 详解
chenshun123的博客
03-11 3026
Java RMI 用于不同虚拟机之间的通信,这些虚拟机可以在不同的主机上也可以在同一个主机上。一个虚拟机中的对象调用另一个虚拟上中的对象的方法,只不过是允许被远程调用的对象要通过一些标志加以标识。这样做的特点如下 :优点 : 避免重复造轮子缺点 : 调用过程很慢,而且该过程是不可靠的,容易发生不可预料的错误,比如网络错误等在 RMI 中的核心是远程对象 (remote object),除了对象本身...
java安全(三)RMI
weixin_45694388的博客
03-22 5343
1.RMI 是什么 RMI(Remote Method Invocation)即Java远程方法调用RMI用于构建分布式应用程序,RMI实现了Java程序之间跨JVM的远程通信。 RMI底层通讯采用了Stub(运行在客户端)和Skeleton(运行在服务端)机制,RMI调用远程方法的大致如下: 1.RMI客户端在调用远程方法时会先创建2.Stub(sun.rmi.registry.RegistryImpl_Stub)。 Stub会将Remote对象传递给远程引用层(java.rmi.server.Remo
解决报错:错误: 代理抛出异常错误: java.rmi.server.ExportException: Port already in use: 1099
qq_44371305的博客
09-13 5436
昨天正常运行的Spring项目,今天一早再次运行时发生报错: 错误: 代理抛出异常错误: java.rmi.server.ExportException: Port already in use: 1099; nested exception is: java.net.BindException: Address already in use: JVM_Bind sun.management.AgentConfigurationError: java.rmi.server.ExportException
java visualvm监控jetty_java visualvm监控远程服务
weixin_36272668的博客
02-13 347
1、首先确保hostname绑定的不是localhost或者127.0.0.1、0.0.0.0,否则报Could not bind /JStatRemoteHost to RMI Registry2、然后找到远程机器java的jre的bin目录,添加文件jstatd.all.policy,内容是grant codebase "file:${java.home}/../lib/tools.jar" ...
rmi反序列化导致rce漏洞修复_JAVA反序列化漏洞解决办法
weixin_39527911的博客
12-23 476
一、漏洞描述:近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值