【CVE-2017-3241】Java RMI远程反序列化代码执行

原创 已于 2022-09-27 19:09:11 修改 · 5.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #java #安全性测试

于 2022-03-27 12:01:02 首次发布

对于Java RMI,只要是以对象为参数的接口,都可以在客户端构建一个对象,强迫服务端对这个存在于Class Path下可序列化类进行反序列化,从而执行一个不在计划内的方法。

一、了解什么是Java RMI?

RMI(Remote Method Invocation),即远程方法调用

1.1 是什么?
  • RMI是一个通信工具,支持存储于不同空间的应用级对象之间进行通信的工具,实现了远程对象之间的无缝调用。
  • 用于不同虚拟机之间的通信,通信的虚拟机可以不在同一个服务器。
  • RMI是标识了一些对象,允许被其它虚拟机直接远程调用。
1.2 调用步骤

在这里插入图片描述

  • 创建远程接口,继承至Remote
  • 实现一个远程对象(实现类)
  • 将远程对象注册到RMI Registry(对外发布)
  • 客户端RMI可以通过访问服务器找到注册的远程对象
  • 客户端RMI将远程对象存根
  • 客户端调用类实现
  • 客户端RMI存根直接与服务端通信,服务端将结果返回给客户端RMI
  • 客户端RMI将拿到的信息返回给客户端
1.3 组成部分

RMI通信由三部分组成

  • RMI Registry,JDK提供的一个可以独立运行的程序(bin),默认端口1099
  • 服务端(Server)程序,提供服务实现类,并注册到RMIRegistry上对外暴露一个指定的名称
  • 客户端(Client)程序,通过服务端信息和一个已知的暴露名称,借用RMI远程访问。
1.4 通信过程

在这里插入图片描述

  • 说明
    • Stub,存根,代理角色
    • Skeleton,骨干,实际调用服务端实现类方法
    • Rmote Reference Layer,远程引用层,处理通信
    • Transport Layer,传输层,管理连接的
  • 请求,客户端->存根->引用层->传输层,传递到服务端主机,传输层->引用层->骨干->服务端
  • 返回,服务端->骨干->引用层->传输层,返回信息到客户端主机,传输层->引用层->存根->客户端
二、尝试通过RMI远程调用
2.1 服务端:实现远程服务接口
package com.cloudcc.designmode.study01.rmiplay;

import java.rmi.Remote;
import java.rmi.RemoteException;

/**
 * @author shancl
 */
public interface Services extends Remote {
   
   

    String sendUserInfo(UserInfo userInfo) throws RemoteException;

}
  • 必须抛出异常RemoteException,否则会异常(remote object implements illegal remote interface)
2.2 服务端:实现远程服务类
package com.cloudcc.designmode.study01.rmiplay;

/**
 * @author shancl
 */
public class RMIServer implements Services{
   
   

    @Override
    public String sendUserInfo(UserInfo userInfo) {
   
   
        String accountId = userInfo.getAccountId();
        System.out.println(accountId);
        if (accountId.contains("XXX")){
   
   
            return "XXX:acc000001";
        }else {
   
   
            return "Known: acc000002";
        }
    }

}
2.3 服务端:传输的对象
package com.cloudcc.designmode.study01.rmiplay;

import java.io.Serializable;

/**
 * @author shancl
 */
public class UserInfo implements Serializable {
   
   

    private String accountId;

    public String getAccountId() {
   
   
        System.out.println("我被远程调用了");
        return accountId;
    }

    public void setAccountId(String accountId) {
   
   
        this.accountId = accountId;
    }
}
2.4 服务端:对外暴露对象
package com.cloudcc.designmode.study01.rmiplay;

import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.UnicastRemoteObject;

/**
 * @author shancl
 */
public class ExecuteRmi {
   
   

    public static void main(String[] args) {
   
   
        System.out.println("启动服务端RMI");
        RMIServer rmiServer = new RMIServer();
        try {
   
   
            Services services = (Services) UnicastRemoteObject.exportObject(rmiServer, 8080);
            Registry registry;
            try {
   
   
                registry = LocateRegistry.createRegistry(8080);
                System.out.println("完成RMI Registry的创建。");
            }catch (Exception e){
   
   
                System.out.println("使用已经存在的RMI Registry。");
                registry = LocateRegistry.getRegistry();
            }
            registry.rebind("RMIServer", services);
        } catch (RemoteException e) {
   
   
            e.printStackTrace();
        }
    }

}
2.5 客户端:拷贝内容(服务接口、传输对象)
package com.cloudcc.designmode.study01.rmiplay;

import java.rmi.Remote;
import java.rmi.RemoteException;

/**
 * @author  shancl
 */
public interface Services extends Remote {
   
   

    String sendUserInfo(UserInfo userInfo) throws RemoteException;
}

package com.cloudcc.designmode.study01.rmiplay;

import java.io.Serializable;

/**
 * @author shancl
 */
public class UserInfo implements Serializable {
   
   

    private String accountId;

    public String getAccountId() {
   
   
        System.out.println("我被远程调用了");
        return accountId;
    }

    public void setAccountId(String accountId) {
   
   
        this.accountId = accountId;
    }
}
2.6 客户端:远程调用对象
package com.cloudcc.designmode.study01.client;

import com.cloudcc.designmode.study01.hehe.<
最低0.47元/天 解锁文章
浅析源码:CVE-2017-7504_JBoss反序列化
m0_74051295的博客
12-13 531
CVE-2017-7504_JBoss反序列化攻击者能够通过特定的接口发送恶意构造的序列化对象,而这些对象在反序列化时可以触发任意的代码执行。漏洞点主要是在 JBoss 的​ 服务中,该服务允许通过 HTTP 协议发送 Java 序列化数据进行远程方法调用(RMI)。攻击者可以利用该功能发送恶意 Java 对象,从而在服务器上执行任意命令。
weblogicT3反序列化CVE-2017-3248&CVE-2018-2628&CVE-2018-3245
weixin_45682070的博客
03-13 6129
前言 上上篇文章我们分析了CVE-2015-4852、CVE-2016-0638、CVE-2016-3510的漏洞,因果是从resolveClass方法中出现的,resolveClass方法直接继承了父类的方法,然后没有任何过滤的造成了序列化漏洞,后面两个cve都是前者的绕过。今天分析一下CVE-2017-3248 & CVE-2018-2628,上上文中我们知道readClassDesc类描述方法可分为没有代理的类和代理类,CVE-2017-3248漏洞的成因就是代理类resolveProxyCl
Java RMI远程方法调用详解-例子代码
07-22
Java RMI远程方法调用详解-例子代码,例子详解在:http://blog.youkuaiyun.com/guyuealian/article/details/51992182
java RMI实现代码
11-01
java RMI实现代码。分为客户端和服务器端,有清楚的代码注释。
WebLogic_CVE-2017-3248&&GetShell-CMD验证工具.rar
02-11
Weblogic任意命令执行的检测工具。 WebLogic_CVE-2017-3248文件夹的执行命令: java -jar weblogic_cmd.jar -C whoami -H 10.1.1.104 -P 8083 Weblogic Unserialization GetShll&CMD文件夹的执行命令: java -jar Weblogic-Unserialization-GetShll-CMD.jar 或者双击starter.bat.
JAVA RMI 反序列化远程命令执行漏洞
热门推荐
LeeHDsniper的博客
05-11 3万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
java访问windows注册表 method native_code2sec.com/CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞.md at maste...
weixin_39927508的博客
12-22 1397
Title: CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞Date: 2020-08-04 10:20Category: 漏洞实践Tags: Java,RMI,漏洞,反序列化Slug:Authors: bit4wooSummary:CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞如有错误,敬请斧正!漏洞简介简要说明...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
WebLogic反序列化_CVE-2017-3248
09-06
WebLogic反序列化_CVE-2017-3248 java -jar weblogic_cmd.jar -C pwd -H 192.168.1.1 -P 7001 工具使用方法: -B Runtime Blind Execute Command maybe you should select os type -C <arg> (执行命令)Execute ...
Java RMI服务远程命令执行利用
wjy397的专栏
10-10 1599
http://www.myhack58.com/Article/html/3/62/2016/71978.htm Java RMI服务是远程方法调用(Remote Method Invocation)。它是一种机制,能够让在某个java虚拟机上的对象调用另一个Java虚拟机的对象的方法。 在Java Web中,很多地方都会用到RMI来相互调用。比如很多大型组织都会在后台部署一些Java应用
通过Java RMI实现远程调用的一个简单例子
04-02
源代码 博文链接:https://forchase.iteye.com/blog/1454428
RMI远程调用
04-25
RMI远程调用,之前做的Demo希望对大家有所帮助!
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
java RMI客户端调用远程服务器系统命令
04-06
NULL 博文链接:https://skyandcity.iteye.com/blog/1547028
rmi远程代码执行漏洞_Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-3241 )...
weixin_30914893的博客
12-31 988
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文原创作者:jfeiyi,本文属FreeBuf原创奖励计划,未经许可禁止转载本打算慢慢写出来的,但前几天发现国外有研究员发了一篇关于这个CVE的文章,他和我找到的地方很相似。然而不知道是不是Oracle认为是同一个漏洞然后合并了CVE,还是说我找错了CVE。总之,先简单描述一下漏...
Java RMI 反序列化代码执行
xmas
05-10 1146
#-*- encoding:utf-8 -*- import socket import binascii import time def check(ip,port,timeout): try: address=(ip,port) socket.setdefaulttimeout(timeout) sock=socket.socket(socket.AF_IN
Java RMI 反序列化漏洞-远程命令执行
tangshuangsss的专栏
12-22 3273
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介RMI远程方法调用,通俗的来说就是客户端可以调用服务端的方法。和RPC差不多,RMIjava独立实现的...
JAVA RMI远程调用实现
MUTONG的博客
02-22 413
JAVA RMI远程调用实现 #创建RMI Server 1.创建Java实体类,实现序列化 package com.hp.beans; import java.io.Serializable; public class user implements Serializable { private Integer uid; private String uanem; ...
(CVE-2019-17571)是Apache Log4j Server 反序列化远程代码执行漏洞
最新发布
09-13
<think> 我们注意到用户引用了关于CVE-2017-5645的参考资料,但实际询问的是CVE-2019-17571(Apache Log4j Server反序列化远程代码执行漏洞)。然而,根据公开漏洞数据库,CVE-2019-17571实际上是Apache Solr的漏洞,不是Log4j的漏洞。这里存在明显的漏洞编号混淆。 根据用户描述:“CVE-2019-17571 Apache Log4j Server反序列化远程代码执行漏洞”,这可能是用户将两个不同的漏洞混淆了。因为: - CVE-2017-5645对应的是Apache Log4j 2.x版本的反序列化漏洞(如用户提供的引用所述)。 - CVE-2019-17571在NVD等官方数据库中对应的是Apache Solr的远程代码执行漏洞(与Log4j无关)。 因此,我们需要澄清: 1. 如果用户确实想了解CVE-2019-17571(Apache Solr漏洞),则按之前回答的Solr漏洞特征继续。 2. 如果用户想了解Log4j的反序列化漏洞,则应该指向CVE-2017-5645(Log4j 2.x反序列化漏洞)。 但是,用户这次明确提到了“CVE-2019-17571”和“Apache Log4j Server反序列化远程代码执行漏洞”,这可能是用户获取了错误的信息。我们应当纠正并给出正确的信息。 考虑到用户可能混淆,我们将分别说明: - 首先指出编号混淆问题。 - 然后分别简要介绍两个漏洞: 1. CVE-2017-5645:Apache Log4j 2.x反序列化漏洞(用户引用中提到的) 2. CVE-2019-17571:Apache Solr远程代码执行漏洞(用户之前询问的) 最后给出正确的对应关系。 同时,根据用户要求,我们生成相关问题。 注意:用户要求使用中文,并按照指定格式。 </think> ### CVE-2019-17571漏洞澄清与Log4j反序列化漏洞对比 首先需要澄清一个关键点:**CVE-2019-17571实际上是Apache Solr的远程代码执行漏洞**,而非Log4j漏洞。您可能混淆了以下两个不同的漏洞: 1. **CVE-2019-17571** - 影响组件:**Apache Solr**(搜索平台) - 漏洞类型:通过篡改JMX配置实现RCE - 影响版本:Solr 5.0.0至8.3.0 - 利用方式:攻击者发送恶意POST请求修改`jmx.serviceUrl`配置,诱导Solr连接恶意RMI服务器[^1] 2. **CVE-2017-5645** - 影响组件:**Apache Log4j 2.x**(日志组件) - 漏洞类型:**反序列化命令执行** - 影响版本:Log4j 2.x < 2.8.2 - 利用方式:攻击者向监听TCP/UDP日志端口的服务发送恶意序列化数据,触发远程代码执行[^2][^3] --- ### Log4j反序列化漏洞(CVE-2017-5645)关键信息 根据您引用的资料,该漏洞特征如下: #### 流量特征 ```http POST /log4j-endpoint HTTP/1.1 Host: target-server Content-Type: application/java-serialized-object <恶意序列化字节流> ``` 1. **协议特征** - 针对Log4j的**TCP/UDP SocketServer端口**(默认**4560/TCP**) - 传输**Java序列化对象**(Content-Type可能为`application/java-serialized-object`) 2. **负载特征** - 包含可触发任意代码执行的恶意序列化数据 - 常见利用链:Apache Commons Collections库的`InvokerTransformer`等 - 示例字节特征:`AC ED 00 05`(Java序列化魔术字)+ 恶意类名 3. **后续行为** - 成功利用后建立反向Shell(如连接攻击者的**4444/TCP**端口) - 下载并执行远程恶意JAR文件 --- #### 检测建议 1. **网络层检测** ```python # 检测Log4j恶意序列化流量 if packet.dport == 4560 and packet.payload.contains(b"\xAC\xED\x00\x05"): alert("CVE-2017-5645 exploit attempt") ``` 2. **主机层检测** - 监控`Log4j2SocketServer`进程的异常子进程创建 - 检查JVM加载非常规类(如`org.apache.commons.collections.functors.InvokerTransformer`) --- ### 漏洞修复方案 | 漏洞编号 | 修复方案 | |----------------|--------------------------------------------------------------------------| | CVE-2017-5645 | 升级Log4j至**2.8.2+**版本,禁用SocketServer或配置反序列化过滤器[^3] | | CVE-2019-17571| 升级Solr至**8.3.0+**,禁用JMX服务或限制`/config`接口访问[^1] |
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值