【漏洞复现】Jmeter RMI反序列化命令执行

于 2024-10-08 13:40:09 发布
阅读量267 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 【漏洞复现】 文章标签: jmeter 漏洞复现 Jmeter RMI 反序列化 JAVA安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/142757458
影响范围

Apache Jmeter 2.x

Apache Jmeter 3.x

漏洞介绍

Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编写的用于压力测试和性能测试的开源软件,其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令

环境搭建

在这里我们使用Vulhub来构建环境:

docker-compose up -d

漏洞复现
端口扫描

首先使用Nmap进行端口扫描探测发现目标主机在1099端口开启了JAVA RMI服务

nmap -sT -A 192.168.204.137

漏洞利用

使用ysoserial即可进行利用,这里用的是BeanShell1这条gadget

了解本专栏 订阅专栏 解锁全文
Jmeter RMI 反序列化命令执行漏洞复现
Tauil的博客
08-02 1000
针对目标主机地址及端口的RMI Registry建立远程连接(RMI—使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol)进行通信),连接成功后提交执行用户选择的 payload。可以看到,环境开启后将启动RMI服务并监听1099端口,我们只需要使用ysoserial.exploit.RMIRegistryExploit即可执行任意命令。靶场:vulhub—jmeter/CVE-2018-1297/根据输入命令转化为对应序列化内容,然后将消息发送。...
Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)
玄道的网安博客
06-17 2208
简介 Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编写的用于压力测试和性能测试的开源软件。其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令。 环境搭建 cd /vulhub/jmeter/CVE-2018-1297 docker-compose up -d cat docker-compose.yml 可以看到开启的是1099端口 环境启动后,将启动一个RMI服务并监听1099端口。 下载ysoseria
Jmeter RMI 反序列化命令执行漏洞
m0_63241485的博客
08-26 1055
ysoserial是一款在Github开源的知名java 反序列化利用工具,里面集合了各种java反序列化payload;由于其中部分payload使用到的低版本JDK中的类,所以建议使用低版本JDK .
RMI执行过程
weixin_43460070的博客
07-20 288
RMIJava编程语言里一种用于实现远程过程调用的应用程序编程接口。它使客户机上的运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能地简化远程接口对象的使用,简而言之就是为了调用远程方法。https://blog.youkuaiyun.com/u012291108/article/details/52863915 这个过程中涉及到对象的传输,所以会用到序列化和反序列化,以及JNDI(远程方法调用协议) 参考文章: rmi详解:https://
Java RMI服务远程命令执行利用
热门推荐
Exploit的小站~
05-10 3万+
-------------------------------------------------------------- 很长时间没更新博客了,今天来一发。 -------------------------------------------------------------- 0x00 介绍 Java RMI服务是远程方法调用(Remote Method Invocatio...
利用Vulnhub复现漏洞 - Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)
JiangBuLiu的博客
07-11 2566
Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现利用ysoserial检查结果 Vulnhub官方复现教程 https://vulhub.org/#/environments/jmeter/CVE-2018-1297/ 漏洞原理 Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编...
rmi远程代码执行漏洞_Fastjson 1.2.47 远程命令执行漏洞
weixin_39919195的博客
12-22 461
各位大佬,最近好么由于找工作,以及适应新环境,导致快3个月没有更新文章了,感觉有点对不住大家。话不多说,今天带大家复现一下Fastjson1.2.47远程命令执行漏洞漏洞实现流程准备环境本次漏洞复现需要有三台设备(两台也可以)主机A:模拟Fastjson漏洞环境(centos7)主机B:模拟攻击机,需要开启web服务(windows10)主机C:搭设RMI服务(可以同主机B配置在一起,我的环境是...
Java RMI SERVER命令执行漏洞
m0_62670778的博客
05-12 945
RMI全称是Remote Method Invocation(远程方法调用),是专为Java环境设计的远程方法调用机制,远程服务器提供API,客户端根据API提供相应参数即可调用远程方法由此可见,使用RMI时会涉及到参数传递和结果返回,参数为对象时,要求对象可以被序列化。
终于找到了调试RMI的正确方法
Stone的专栏
09-12 4459
查阅了很多资料,每种资料说的都不太一样。下定决心熬夜也要弄出来,在英国留学的同学提示下终于总结出了调试RMI的方法我的环境为JDK5一共分为4步1.进入命令行窗口,进入自己项目的文件夹内使用 javac *.java这时会产生相同于.java数目的.class文件2.使用rmic serverName(serverName就是项目的服务器文件名,有的资料中还要我对clientName使用rmic命
java RMI客户端调用远程服务器系统命令
04-06
NULL 博文链接:https://skyandcity.iteye.com/blog/1547028
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
RMI在自己的机器上的运行以及使用
蛋蛋的小破屋
05-22 408
/******************************************************************************** * 运行RMI的基本步骤以及注意事项 * 1. 最好是所有的Java文件都在一个包里面, * 2. 在对Java文件进行编译的时候最好要把里面的包名去掉 * 3. 先生成.class文件...
JAVA RMI(远程方法调用)简单实例
shenlin2011的专栏
05-01 659
原文地址:http://www.cnblogs.com/leslies2/archive/2011/05/20/2051844.html
JAVA_RMI反序列化远程命令执行漏洞验证
qq_44828901的博客
12-29 5539
简单复现 JAVA RMI反序列化
【vulhub】Weblogic(CVE-2018-2628)漏洞复现
qq_45300786的博客
04-10 3060
一、什么是WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 先提几个概念 JRMP:java remote method protocol,Java远程方法协议 JRMP是的Java技术协议的具
漏洞分析】远程命令执行漏洞总结
程序员阿飘 的博客
01-06 966
fastjson.jar包原始下载地址:github.com/alibaba/fas…fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。除了这个fastjson以外,还有Google开发的Gson包,其他形式的如net.sf.json包,
jmeter分布式部署java环境
最新发布
02-16
### JMeter 分布式部署 Java 环境配置 #### 配置环境变量 为了使JMeter能够在分布式模式下正常运行,首先需要正确设置系统的环境变量。这包括定义`JMETER_HOME`以及更新`CLASSPATH`和`PATH`。 - **JMETER_HOME**: 新建系统变量名为`JMETER_HOME`,其值应指向JMeter的安装路径,例如 `D:\MyDownloads\apache-jmeter-5.2.1`[^3]。 - **CLASSPATH**: 编辑现有的`CLASSPATH`变量,在其中加入必要的JMeter库文件路径,如 `%JMETER_HOME%\lib\ext\ApacheJMeter_core.jar;%JMETER_HOME%\lib\jorphan.jar;%JMETER_HOME%\lib/logkit-2.0.jar;`。 - **PATH**: 同样地,修改`PATH`变量来包含JMeter二进制文件的位置,即 `D:\MyDownloads\apache-jmeter-5.2.1\bin`。 这些操作确保了命令行工具可以识别并执行JMeter的相关指令,并且能够找到所需的类库和支持文件。 #### 设置远程服务器节点 为了让多个物理机上的JMeter实例协同工作,每台作为客户端或服务端参与测试过程的计算机都需要按照上述方法完成基本配置外,还需特别注意启动参数: ```bash nohup jmeter-server -Djava.rmi.server.hostname=127.0.0.1 & ``` 此命令用于后台启动JMeter的服务进程,并指定RMI注册表绑定至本地回环地址(适用于防火墙严格控制的情况),从而允许其他主机连接上来发起性能测试请求[^1]。 另外,考虑到大规模并发场景下的资源占用情况,建议合理规划各节点硬件规格,因为即使是简单的GUI应用程序也可能因大量虚拟用户的模拟而导致严重的CPU与内存压力,进而影响整体稳定性[^4]。 #### 安装与初始化 对于Linux平台而言,通常会先将下载好的压缩包放置于特定目录内再解压展开。比如通过SSH登录目标机器后切换到 `/usr/local` 文件夹下执行如下命令序列即可快速完成软件部署: ```bash cd /usr/local/ unzip apache-jmeter-5.5.zip ``` 该步骤创建了一个新的子目录存放所有组件及其依赖项,便于后续管理和维护[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值