rmi反序列化导致rce漏洞修复_RMI反序列化漏洞分析

最新推荐文章于 2024-05-12 21:52:27 发布
最新推荐文章于 2024-05-12 21:52:27 发布
阅读量461 收藏 1
点赞数
文章标签: rmi反序列化导致rce漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39664962/article/details/111890866
版权

原创:Xman21合天智汇

一、RMI简介

首先看一下RMI在wikipedia上的描述:

Java远程方法调用,即Java RMI(Java Remote Method Invocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能简化远程接口对象的使用。

Java RMI极大地依赖于接口。在需要创建一个远程对象的时候,程序员通过传递一个接口来隐藏底层的实现细节。客户端得到的远程对象句柄正好与本地的根代码连接,由后者负责透过网络通信。这样一来,程序员只需关心如何通过自己的接口句柄发送消息。

换句话说,使用RMI是为了不同JVM虚拟机的Java对象能够更好地相互调用,就像调用本地的对象一样。RMI为了隐藏网络通信过程中的细节,使用了代理方法。如下图所示,在客户端和服务器各有一个代理,客户端的代理叫Stub,服务端的代理叫Skeleton。代理都是由服务端产生的,客户端的代理是在服务端产生后动态加载过去的。当客户端通信是只需要调用本地代理传入所调用的远程对象和参数即可,本地代理会对其进行编码,服务端代理会解码数据,在本地运行,然后将结果返回。在RMI协议中,对象是使用序列化机制进行编码的。

我们可以将客户端存根编码的数据包含以下几个部分:被使用的远程对象的标识符

被调用的方法的描述

编组后的参数

当请求数据到达服务端后会执行如下操作:定位要调用的远程对象

调用所需的方法,并传递客户端提供的参数

捕获返回值或调用产生的异常。

将返回值编组,打包送回给客户端存根

客户端存根对来自服务器端的返回值或异常进行反编组,其结果就成为了调用存根返回值。

二、RMI示例

接下来我们编写一个RMI通信的示例,使用IDEA新建一个Java项目,代码结构如下:

Client.javapackage client;

import service.Hello;

import java.rmi.registry.LocateRegistry;

import java.rmi.registry.Registry;

import java.util.Scanner;

public class Client {

public static void main(String[] args) throws Exception{

// 获取远程主机上的注册表

Registry registry=LocateRegistry.getRegistry("localhost",1099);

String name="hello";

// 获取远程对象

Hello hello=(Hello)registry.lookup(name);

while(true){

Scanner sc = new Scanner( http://System.in );

String message = sc.next();

// 调用远程方法

hello.echo(message);

if(message.equals("quit")){

break;

}

}

}

}

Server.javapackage server;

import service.Hello;

import service.impl.HelloImpl;

import java.rmi.registry.LocateRegistry;

import java.rmi.registry.Registry;

import java.rmi.server.UnicastRemoteObject;

public class Server {

public static void main(

最低0.47元/天 解锁文章
weixin_39664962
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rmi反序列化导致rce漏洞修复_记一次Java反序列化漏洞的发现和修复
weixin_39604516的博客
12-23 641
作者:bit4@勾陈安全0x00 背景简介本文是自己对一次反序列化漏洞的发现和修复过程,如有错误请斧正,大神请轻喷。目标应用系统是典型的CS模式。客户端是需要安装的windows桌面程序,但是它是大部分内容都是基于Java开发(安装目录有很多Jar包)。服务端是基于Jboss开发。客户端和服务端之间的通信流量是序列化了的数据流量。客户端接收和解析数据流量的模式和服务端一样,也是通过http服务,它...
java rmi反序列化安全漏洞问题解决方案
limingdepoxiao的博客
06-25 2327
解决方案 1、关闭javarmi服务的端口在公网的开放; 2、下载SerialKiller临时补丁,这个jar后放置于classpath,将应用代码中的java.io.ObjectInputStream替换为SerialKiller,之后配置让其能够允许或禁用一些存在问题的类,SerialKiller有Hot-Reload,Whitelisting,Blacklisting几个特性,控制了外部输入反序列化后的可信类型 例如:采用下载SerialKiller补丁,将IDoc2PdfUtilServic.
Java RMI SERVER命令执行漏洞
m0_62670778的博客
05-12 417
RMI全称是Remote Method Invocation(远程方法调用),是专为Java环境设计的远程方法调用机制,远程服务器提供API,客户端根据API提供相应参数即可调用远程方法由此可见,使用RMI时会涉及到参数传递和结果返回,参数为对象时,要求对象可以被序列化。
rmi反序列化导致rce漏洞修复_JAVA反序列化漏洞解决办法
weixin_39527911的博客
12-23 482
一、漏洞描述:近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过...
rmi反序列化导致rce漏洞修复_Hessian反序列化RCE漏洞复现及分析
weixin_35377028的博客
12-23 213
文章目录一、搭建测试环境二、启动JNDI利用工具三、生成payload四、发送payload到hessian服务器五、分析Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存...
rmi反序列化导致rce漏洞修复_Resin payload复现Hessian反序列化RCE漏洞
weixin_28988985的博客
01-13 443
一,搭建测试环境测试环境使用最新的jar包将HessianTest.war放在tomcat / webapp /下,然后启动tomcat访问服务器并返回到以下页面以指示环境正常二,启动JNDI利用工具编译后,JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar执行命令:java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-al...
rmi反序列化导致rce漏洞修复_Spring框架的反序列化远程代码执行漏洞分析
weixin_33978722的博客
12-23 247
Spring框架的反序列化远程代码执行漏洞分析星期三, 一月 27, 20160漏洞介绍国外的研究人员zero thoughts发现了一个Spring框架的反序列化远程代码执行漏洞。spring-tx.jar包中的org.springframework.transaction.jta.JtaTransactionManager类存在JNDI反序列化问题。只要创建一个JtaTransactionMa...
rmi反序列化导致rce漏洞修复_Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238)
weixin_29168393的博客
12-31 118
Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238)一、漏洞描述Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列...
rmi反序列化导致rce漏洞修复_ADOBE ColdFusion Java RMI 反序列化 RCE 漏洞详情(CVE-2018-4939)...
weixin_39883208的博客
12-31 209
前言2017年10月我发布了一个Java RMI/反序列化漏洞的概述和PoC视频,该漏洞影响了AdobeColdFusion的Flex集成服务。我推迟发布所有细节和利用方法,因为发现了一个额外的可用于修复服务器的payload。Adobe现在已经发布了进一步的安全更新,可以点击链接了解更多详细信息。RMI和java.lang.ObjectJava远程方法调用(RMI)协议几乎是100%J...
rmi反序列化导致rce漏洞修复_企业安全05-Fastjson <=1.2.47反序列化RCE漏洞(CNVD-2019-22238)...
weixin_39863616的博客
12-23 115
Fastjson <=1.2.47反序列化RCE漏洞(CNVD-2019-22238)一、漏洞描述Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化...
javaRMI反序列化漏洞验证工具
08-21
**Java RMI反序列化漏洞概述** Java RMI反序列化漏洞主要源于不正确的类型检查和信任机制。当接收到未经验证的远程调用时,如果服务器没有正确地校验或限制输入数据,攻击者可以通过构造恶意序列化数据来操控远程...
Java序列化反序列化原理及漏洞解决方案
08-18
Java序列化反序列化原理及漏洞解决方案 Java序列化反序列化原理及漏洞解决方案是Java编程语言中的一项重要机制,该机制允许将Java对象转换为字节序列,以便在网络上传输或存储在文件中。同时,Java也提供了反序列化...
java反序列化漏洞-验证.rar
06-25
标签“java反序列化漏洞 java反序列化 java反序列化漏洞-验证方法”进一步强调了本主题的焦点。这些标签表明该资源涵盖了从基础概念到具体验证方法的全面讨论,包括: 1. **Java反序列化漏洞**:当不信任的数据源...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
pillow_heif-0.17.0-pp39-pypy39_pp73-macosx_14_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析
cykooz.resizer-3.0.0-cp310-cp310-macosx_11_0_arm64.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
[毕设]Delphi题库管理与试卷自动生成系统.zip
最新发布
07-27
[毕设]Delphi题库管理与试卷自动生成系统
rmi远程反序列化rce漏洞_Spring框架的反序列化远程代码执行漏洞分析(转)
06-06
好的,我知道你的问题了。针对你提到的这个问题,我可以给你一些解释和分析。 首先,RMI(Remote Method Invocation)是Java远程调用机制的一种实现方式,它允许在不同的JVM进程之间进行Java对象的传输和远程调用。而反序列化(Deserialization)是将二进制数据转换为Java对象的过程。在Java中,对象的序列化和反序列化是通过ObjectInputStream和ObjectOutputStream类来实现的。 RMI远程反序列化RCE漏洞是指,攻击者可以通过构造恶意的序列化数据,使得服务端在反序列化时执行恶意代码,从而导致远程代码执行漏洞。这个漏洞的根本原因在于Java序列化机制的设计缺陷,攻击者可以通过构造恶意的序列化数据来绕过Java的安全机制,从而执行任意代码。 而Spring框架的反序列化远程代码执行漏洞,则是指攻击者可以通过构造恶意的序列化数据,使得Spring框架在反序列化时执行恶意代码,从而导致远程代码执行漏洞。这个漏洞的影响范围非常广泛,涵盖了Spring框架的多个版本,包括Spring MVC、Spring WebFlow、Spring Data等。 总的来说,RMI远程反序列化RCE漏洞和Spring框架的反序列化远程代码执行漏洞都是Java序列化机制的设计缺陷所导致的安全漏洞。攻击者可以通过构造恶意的序列化数据来绕过Java的安全机制,从而执行任意代码。因此,在开发Java应用程序时,需要注意对序列化和反序列化数据的处理,避免出现安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值