【CVE-2017-3241】Java RMI远程反序列化代码执行

对于Java RMI,只要是以对象为参数的接口,都可以在客户端构建一个对象,强迫服务端对这个存在于Class Path下可序列化类进行反序列化,从而执行一个不在计划内的方法。

一、了解什么是Java RMI?

RMI(Remote Method Invocation),即远程方法调用

1.1 是什么?
  • RMI是一个通信工具,支持存储于不同空间的应用级对象之间进行通信的工具,实现了远程对象之间的无缝调用。
  • 用于不同虚拟机之间的通信,通信的虚拟机可以不在同一个服务器。
  • RMI是标识了一些对象,允许被其它虚拟机直接远程调用。
1.2 调用步骤

在这里插入图片描述

  • 创建远程接口,继承至Remote
  • 实现一个远程对象(实现类)
  • 将远程对象注册到RMI Registry(对外发布)
  • 客户端RMI可以通过访问服务器找到注册的远程对象
  • 客户端RMI将远程对象存根
  • 客户端调用类实现
  • 客户端RMI存根直接与服务端通信,服务端将结果返回给客户端RMI
  • 客户端RMI将拿到的信息返回给客户端
1.3 组成部分

RMI通信由三部分组成

  • RMI Registry,JDK提供的一个可以独立运行的程序(bin),默认端口1099
  • 服务端(Server)程序,提供服务实现类,并注册到RMIRegistry上对外暴露一个指定的名称
  • 客户端(Client)程序,通过服务端信息和一个已知的暴露名称,借用RMI远程访问。
1.4 通信过程

在这里插入图片描述

  • 说明
    • Stub,存根,代理角色
    • Skeleton,骨干,实际调用服务端实现类方法
    • Rmote Reference Layer,远程引用层,处理通信
    • Transport Layer,传输层,管理连接的
  • 请求,客户端->存根->引用层->传输层,传递到服务端主机,传输层->引用层->骨干->服务端
  • 返回,服务端->骨干->引用层->传输层,返回信息到客户端主机,传输层->引用层->存根->客户端
二、尝试通过RMI远程调用
2.1 服务端:实现远程服务接口
package com.cloudcc.designmode.study01.rmiplay;

import java.rmi.Remote;
import java.rmi.RemoteException;

/**
 * @author shancl
 */
public interface Services extends Remote {
   
   

    String sendUserInfo(UserInfo userInfo) throws RemoteException;

}
  • 必须抛出异常RemoteException,否则会异常(remote object implements illegal remote interface)
2.2 服务端:实现远程服务类
package com.cloudcc.designmode.study01.rmiplay;

/**
 * @author shancl
 */
public class RMIServer implements Services{
   
   

    @Override
    public String sendUserInfo(UserInfo userInfo) {
   
   
        String accountId = userInfo.getAccountId();
        System.out.println(accountId);
        if (accountId.contains("XXX")){
   
   
            return "XXX:acc000001";
        }else {
   
   
            return "Known: acc000002";
        }
    }

}
2.3 服务端:传输的对象
package com.cloudcc.designmode.study01.rmiplay;

import java.io.Serializable;

/**
 * @author shancl
 */
public class UserInfo implements Serializable {
   
   

    private String accountId;

    public String getAccountId() {
   
   
        System.out.println("我被远程调用了");
        return accountId;
    }

    public void setAccountId(String accountId) {
   
   
        this.accountId = accountId;
    }
}
2.4 服务端:对外暴露对象
package com.cloudcc.designmode.study01.rmiplay;

import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.UnicastRemoteObject;

/**
 * @author shancl
 */
public class ExecuteRmi {
   
   

    public static void main(String[] args) {
   
   
        System.out.println("启动服务端RMI");
        RMIServer rmiServer = new RMIServer();
        try {
   
   
            Services services = (Services) UnicastRemoteObject.exportObject(rmiServer, 8080);
            Registry registry;
            try {
   
   
                registry = LocateRegistry.createRegistry(8080);
                System.out.println("完成RMI Registry的创建。");
            }catch (Exception e){
   
   
                System.out.println("使用已经存在的RMI Registry。");
                registry = LocateRegistry.getRegistry();
            }
            registry.rebind("RMIServer", services);
        } catch (RemoteException e) {
   
   
            e.printStackTrace();
        }
    }

}
2.5 客户端:拷贝内容(服务接口、传输对象)
package com.cloudcc.designmode.study01.rmiplay;

import java.rmi.Remote;
import java.rmi.RemoteException;

/**
 * @author  shancl
 */
public interface Services extends Remote {
   
   

    String sendUserInfo(UserInfo userInfo) throws RemoteException;
}

package com.cloudcc.designmode.study01.rmiplay;

import java.io.Serializable;

/**
 * @author shancl
 */
public class UserInfo implements Serializable {
   
   

    private String accountId;

    public String getAccountId() {
   
   
        System.out.println("我被远程调用了");
        return accountId;
    }

    public void setAccountId(String accountId) {
   
   
        this.accountId = accountId;
    }
}
2.6 客户端:远程调用对象
package com.cloudcc.designmode.study01.client;

import com.cloudcc.designmode.study01.hehe.<
### 关于 JBoss CVE-2017-12149 漏洞的修复方案及影响分析 #### 一、漏洞概述 JBoss 的 HttpInvoker 组件中的 `ReadOnlyAccessFilter` 过滤器存在反序列化漏洞,具体表现为在未进行任何安全检查的情况下尝试将来自客户端的序列化数据流反序列化。这使得攻击者能够通过发送精心构造的恶意序列化数据来触发远程代码执行 (RCE),从而获取目标服务器的完全控制权[^1]。 受影响的主要版本包括但不限于: - **Jboss AS 5.x** - **Jboss AS 6.x** 值得注意的是,虽然最初认为仅限于上述版本受到影响,但后续研究表明 JBossAS 6.x 同样可能受到此漏洞的影响。 --- #### 二、漏洞成因分析 该漏洞的根本原因在于 `doFilter` 方法的设计缺陷——它直接调用了 Java 的 `ObjectInputStream.readObject()` 函数处理未经验证的数据输入。由于 Java 序列化的特性允许自定义类加载逻辑,在这种情况下,如果传入的对象被篡改,则可能导致任意代码被执行。 以下是简化版的核心代码片段展示问题所在: ```java public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { ObjectInputStream ois = new ObjectInputStream(request.getInputStream()); Object obj = ois.readObject(); // 高危操作:无校验地读取并解析对象 } ``` 从以上代码可以看出,开发者并未对接收到的内容实施必要的白名单过滤或其他形式的安全防护措施,因此容易成为攻击者的突破口。 --- #### 三、修复方案 针对这一高风险漏洞,官方推荐采取以下几种方式之一完成修补工作: 1. **升级到最新稳定版本** 建议尽快迁移至不受影响的新版本软件环境,例如 JBoss EAP 或 WildFly 平台下的对应更新迭代产品(如 JBossAS 7)。这些新版本已经移除了旧有的不安全实现路径,并引入更多现代化的安全机制加以保护。 2. **禁用不必要的服务模块** 如果短期内无法完成全面升级计划,可以考虑临时关闭与业务无关的功能单元,特别是涉及 RMI 和 HTTP Invoker 功能的部分。这样可以在一定程度上减少暴露面,降低遭受攻击的可能性[^2]。 3. **应用补丁程序** 对现有部署环境中存在的脆弱点单独打上针对性强的小型修正包也是可行的选择之一。不过需要注意的是,这种方法通常只适用于特定场景下短期过渡阶段使用,长期来看仍需依赖完整的架构改造才能彻底消除隐患。 4. **配置防火墙规则限制外部连接请求** 结合网络层面的技术手段进一步缩小潜在威胁范围也是一种有效的辅助策略。比如设置严格的 ACL 列表限定哪些 IP 地址允许访问敏感接口端口等资源;或者启用 WAF 设备拦截可疑流量行为模式等等。 --- #### 四、预防建议 为了防止未来再次发生类似的严重事件,企业应当建立完善的开发流程管理制度以及定期开展安全性评估活动。其中包括但不限于以下几个方面要点提示: - 加强内部培训教育力度提高全员信息安全意识水平; - 推广采用更加健壮可靠的替代技术框架代替传统易受攻击的语言特性; - 实施持续集成测试自动化工具链检测隐藏 bug 提前预警异常状况; - 定期审查第三方库文件清单确保所使用的组件均处于良好维护状态之中。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值