【CVE-2017-3241】Java RMI远程反序列化代码执行

原创 已于 2022-09-27 19:09:11 修改 · 5.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #java #安全性测试

于 2022-03-27 12:01:02 首次发布

对于Java RMI,只要是以对象为参数的接口,都可以在客户端构建一个对象,强迫服务端对这个存在于Class Path下可序列化类进行反序列化,从而执行一个不在计划内的方法。

一、了解什么是Java RMI?

RMI(Remote Method Invocation),即远程方法调用

1.1 是什么?
  • RMI是一个通信工具,支持存储于不同空间的应用级对象之间进行通信的工具,实现了远程对象之间的无缝调用。
  • 用于不同虚拟机之间的通信,通信的虚拟机可以不在同一个服务器。
  • RMI是标识了一些对象,允许被其它虚拟机直接远程调用。
1.2 调用步骤

在这里插入图片描述

  • 创建远程接口,继承至Remote
  • 实现一个远程对象(实现类)
  • 将远程对象注册到RMI Registry(对外发布)
  • 客户端RMI可以通过访问服务器找到注册的远程对象
  • 客户端RMI将远程对象存根
  • 客户端调用类实现
  • 客户端RMI存根直接与服务端通信,服务端将结果返回给客户端RMI
  • 客户端RMI将拿到的信息返回给客户端
1.3 组成部分

RMI通信由三部分组成

  • RMI Registry,JDK提供的一个可以独立运行的程序(bin),默认端口1099
  • 服务端(Server)程序,提供服务实现类,并注册到RMIRegistry上对外暴露一个指定的名称
  • 客户端(Client)程序,通过服务端信息和一个已知的暴露名称,借用RMI远程访问。
1.4 通信过程

在这里插入图片描述

  • 说明
    • Stub,存根,代理角色
    • Skeleton,骨干,实际调用服务端实现类方法
    • Rmote Reference Layer,远程引用层,处理通信
    • Transport Layer,传输层,管理连接的
  • 请求,客户端->存根->引用层->传输层,传递到服务端主机,传输层->引用层->骨干->服务端
  • 返回,服务端->骨干->引用层->传输层,返回信息到客户端主机,传输层->引用层->存根->客户端
二、尝试通过RMI远程调用
2.1 服务端:实现远程服务接口
package com.cloudcc.designmode.study01.rmiplay;

import java.rmi.Remote;
import java.rmi.RemoteException;

/**
 * @author shancl
 */
public interface Services extends Remote {
   
   

    String sendUserInfo(UserInfo userInfo) throws RemoteException;

}
  • 必须抛出异常RemoteException,否则会异常(remote object implements illegal remote interface)
2.2 服务端:实现远程服务类
package com.cloudcc.designmode.study01.rmiplay;

/**
 * @author shancl
 */
public class RMIServer implements Services{
   
   

    @Override
    public String sendUserInfo(UserInfo userInfo) {
   
   
        String accountId = userInfo.getAccountId();
        System.out.println(accountId);
        if (accountId.contains("XXX")){
   
   
            return "XXX:acc000001";
        }else {
   
   
            return "Known: acc000002";
        }
    }

}
2.3 服务端:传输的对象
package com.cloudcc.designmode.study01.rmiplay;

import java.io.Serializable;

/**
 * @author shancl
 */
public class UserInfo implements Serializable {
   
   

    private String accountId;

    public String getAccountId() {
   
   
        System.out.println("我被远程调用了");
        return accountId;
    }

    public void setAccountId(String accountId) {
   
   
        this.accountId = accountId;
    }
}
2.4 服务端:对外暴露对象
package com.cloudcc.designmode.study01.rmiplay;

import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.rmi.server.UnicastRemoteObject;

/**
 * @author shancl
 */
public class ExecuteRmi {
   
   

    public static void main(String[] args) {
   
   
        System.out.println("启动服务端RMI");
        RMIServer rmiServer = new RMIServer();
        try {
   
   
            Services services = (Services) UnicastRemoteObject.exportObject(rmiServer, 8080);
            Registry registry;
            try {
   
   
                registry = LocateRegistry.createRegistry(8080);
                System.out.println("完成RMI Registry的创建。");
            }catch (Exception e){
   
   
                System.out.println("使用已经存在的RMI Registry。");
                registry = LocateRegistry.getRegistry();
            }
            registry.rebind("RMIServer", services);
        } catch (RemoteException e) {
   
   
            e.printStackTrace();
        }
    }

}
2.5 客户端:拷贝内容(服务接口、传输对象)
package com.cloudcc.designmode.study01.rmiplay;

import java.rmi.Remote;
import java.rmi.RemoteException;

/**
 * @author  shancl
 */
public interface Services extends Remote {
   
   

    String sendUserInfo(UserInfo userInfo) throws RemoteException;
}

package com.cloudcc.designmode.study01.rmiplay;

import java.io.Serializable;

/**
 * @author shancl
 */
public class UserInfo implements Serializable {
   
   

    private String accountId;

    public String getAccountId() {
   
   
        System.out.println("我被远程调用了");
        return accountId;
    }

    public void setAccountId(String accountId) {
   
   
        this.accountId = accountId;
    }
}
2.6 客户端:远程调用对象
package com.cloudcc.designmode.study01.client;

import com.cloudcc.designmode.study01.hehe.<
最低0.47元/天 解锁文章

200万优质内容无限畅学
java访问windows注册表 method native_code2sec.com/CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞.md at maste...
weixin_39927508的博客
12-22 1357
Title: CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞Date: 2020-08-04 10:20Category: 漏洞实践Tags: Java,RMI,漏洞,反序列化Slug:Authors: bit4wooSummary:CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞如有错误,敬请斧正!漏洞简介简要说明...
rmi远程代码执行漏洞_Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-3241 )...
weixin_30914893的博客
12-31 969
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文原创作者:jfeiyi,本文属FreeBuf原创奖励计划,未经许可禁止转载本打算慢慢写出来的,但前几天发现国外有研究员发了一篇关于这个CVE的文章,他和我找到的地方很相似。然而不知道是不是Oracle认为是同一个漏洞然后合并了CVE,还是说我找错了CVE。总之,先简单描述一下漏...
Web中间件常见漏洞
m0_52923241的博客
02-22 1448
如果攻击者通过begin.do上传的话,Weblogic在服务端会判断有没有upload目录,如果不存在会自动创建,再接着在upload目录下创建Rs_Upload_格式化后的作为目录名,紧接着获取到import_file_name字段名作为后续的文件名拼接的一部分;将/etc/php5/fpm/pool.d/www.conf中security.limit_extensions = .php中.php删除,再次在浏览器中打开,成功解析。使用burpsuite抓包,上传,得到返回的数据包中的时间戳;
Java RMI远程方法调用详解-例子代码
07-22
Java RMI远程方法调用详解-例子代码,例子详解在:http://blog.youkuaiyun.com/guyuealian/article/details/51992182
JAVA RMI 反序列化远程命令执行漏洞
热门推荐
LeeHDsniper的博客
05-11 3万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
Java RMI服务远程命令执行利用
wjy397的专栏
10-10 1584
http://www.myhack58.com/Article/html/3/62/2016/71978.htm Java RMI服务是远程方法调用(Remote Method Invocation)。它是一种机制,能够让在某个java虚拟机上的对象调用另一个Java虚拟机的对象的方法。 在Java Web中,很多地方都会用到RMI来相互调用。比如很多大型组织都会在后台部署一些Java应用
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
WebLogic反序列化_CVE-2017-3248
09-06
WebLogic反序列化_CVE-2017-3248 java -jar weblogic_cmd.jar -C pwd -H 192.168.1.1 -P 7001 工具使用方法: -B Runtime Blind Execute Command maybe you should select os type -C <arg> (执行命令)Execute ...
浅析源码:CVE-2017-7504_JBoss反序列化
m0_74051295的博客
12-13 417
CVE-2017-7504_JBoss反序列化攻击者能够通过特定的接口发送恶意构造的序列化对象,而这些对象在反序列化时可以触发任意的代码执行。漏洞点主要是在 JBoss 的​ 服务中,该服务允许通过 HTTP 协议发送 Java 序列化数据进行远程方法调用(RMI)。攻击者可以利用该功能发送恶意 Java 对象,从而在服务器上执行任意命令。
weblogicT3反序列化CVE-2017-3248&CVE-2018-2628&CVE-2018-3245
weixin_45682070的博客
03-13 6055
前言 上上篇文章我们分析了CVE-2015-4852、CVE-2016-0638、CVE-2016-3510的漏洞,因果是从resolveClass方法中出现的,resolveClass方法直接继承了父类的方法,然后没有任何过滤的造成了序列化漏洞,后面两个cve都是前者的绕过。今天分析一下CVE-2017-3248 & CVE-2018-2628,上上文中我们知道readClassDesc类描述方法可分为没有代理的类和代理类,CVE-2017-3248漏洞的成因就是代理类resolveProxyCl
java RMI实现代码
11-01
java RMI实现代码。分为客户端和服务器端,有清楚的代码注释。
通过Java RMI实现远程调用的一个简单例子
04-02
源代码 博文链接:https://forchase.iteye.com/blog/1454428
RMI远程调用
04-25
RMI远程调用,之前做的Demo希望对大家有所帮助!
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
java RMI客户端调用远程服务器系统命令
04-06
NULL 博文链接:https://skyandcity.iteye.com/blog/1547028
Java RMI 反序列化代码执行
xmas
05-10 1127
#-*- encoding:utf-8 -*- import socket import binascii import time def check(ip,port,timeout): try: address=(ip,port) socket.setdefaulttimeout(timeout) sock=socket.socket(socket.AF_IN
Java RMI 反序列化漏洞-远程命令执行
tangshuangsss的专栏
12-22 3156
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介RMI远程方法调用,通俗的来说就是客户端可以调用服务端的方法。和RPC差不多,RMIjava独立实现的...
JAVA RMI远程调用实现
MUTONG的博客
02-22 393
JAVA RMI远程调用实现 #创建RMI Server 1.创建Java实体类,实现序列化 package com.hp.beans; import java.io.Serializable; public class user implements Serializable { private Integer uid; private String uanem; ...
jboss CVE-2017-12149
最新发布
03-27
### 关于 JBoss CVE-2017-12149 漏洞的修复方案及影响分析 #### 一、漏洞概述 JBoss 的 HttpInvoker 组件中的 `ReadOnlyAccessFilter` 过滤器存在反序列化漏洞,具体表现为在未进行任何安全检查的情况下尝试将来自客户端的序列化数据流反序列化。这使得攻击者能够通过发送精心构造的恶意序列化数据来触发远程代码执行 (RCE),从而获取目标服务器的完全控制权[^1]。 受影响的主要版本包括但不限于: - **Jboss AS 5.x** - **Jboss AS 6.x** 值得注意的是,虽然最初认为仅限于上述版本受到影响,但后续研究表明 JBossAS 6.x 同样可能受到此漏洞的影响。 --- #### 二、漏洞成因分析 该漏洞的根本原因在于 `doFilter` 方法的设计缺陷——它直接调用了 Java 的 `ObjectInputStream.readObject()` 函数处理未经验证的数据输入。由于 Java 序列化的特性允许自定义类加载逻辑,在这种情况下,如果传入的对象被篡改,则可能导致任意代码被执行。 以下是简化版的核心代码片段展示问题所在: ```java public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { ObjectInputStream ois = new ObjectInputStream(request.getInputStream()); Object obj = ois.readObject(); // 高危操作:无校验地读取并解析对象 } ``` 从以上代码可以看出,开发者并未对接收到的内容实施必要的白名单过滤或其他形式的安全防护措施,因此容易成为攻击者的突破口。 --- #### 三、修复方案 针对这一高风险漏洞,官方推荐采取以下几种方式之一完成修补工作: 1. **升级到最新稳定版本** 建议尽快迁移至不受影响的新版本软件环境,例如 JBoss EAP 或 WildFly 平台下的对应更新迭代产品(如 JBossAS 7)。这些新版本已经移除了旧有的不安全实现路径,并引入更多现代化的安全机制加以保护。 2. **禁用不必要的服务模块** 如果短期内无法完成全面升级计划,可以考虑临时关闭与业务无关的功能单元,特别是涉及 RMI 和 HTTP Invoker 功能的部分。这样可以在一定程度上减少暴露面,降低遭受攻击的可能性[^2]。 3. **应用补丁程序** 对现有部署环境中存在的脆弱点单独打上针对性强的小型修正包也是可行的选择之一。不过需要注意的是,这种方法通常只适用于特定场景下短期过渡阶段使用,长期来看仍需依赖完整的架构改造才能彻底消除隐患。 4. **配置防火墙规则限制外部连接请求** 结合网络层面的技术手段进一步缩小潜在威胁范围也是一种有效的辅助策略。比如设置严格的 ACL 列表限定哪些 IP 地址允许访问敏感接口端口等资源;或者启用 WAF 设备拦截可疑流量行为模式等等。 --- #### 四、预防建议 为了防止未来再次发生类似的严重事件,企业应当建立完善的开发流程管理制度以及定期开展安全性评估活动。其中包括但不限于以下几个方面要点提示: - 加强内部培训教育力度提高全员信息安全意识水平; - 推广采用更加健壮可靠的替代技术框架代替传统易受攻击的语言特性; - 实施持续集成测试自动化工具链检测隐藏 bug 提前预警异常状况; - 定期审查第三方库文件清单确保所使用的组件均处于良好维护状态之中。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值