RMIserver端和Registry端源码分析

原创 于 2023-02-10 09:52:00 发布 · 601 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jvm #java #c++

本文深入探讨Java RMI(Remote Method Invocation),解析Server端UnicastRemoteObject和Registry端createRegistry的源码,揭示RMI反序列化攻击的原理。通过源码分析,展示了RMI在创建远程对象、动态代理及Registry管理等方面的关键步骤。同时,文章提到了非Object参数的RMI攻击策略,以及学习网络安全的全面路径和资源。

想学JDNI,那想必一定躲不过RMI。

RMI简述

RMI可以远程调用JVM对象并获取结果。所以需要一个server和一个client进行通信。

Server端会创建一个远程对象用于client端远程访问。

下面改造一张来自W3Cschool的图:

1670590949_639331e5071ab35b5dc6d.png!small?1670590949697

只需要知道:Client端使用stub来请求远程方法,而Server端用Skeleton来接收stub,然后将返回值传输给Client。

  • RMI server的构造需要:

    1. 一个远程接口rmidemo,rmidemo需要继承java.rmi.Remote接口,其中的方法还需要有serializable接口

           public interface rmidemo extends Remote {

      private static final long serialVersionUID = 6490921832856589236L;
      public String hello() throws RemoteException{}
      }

serialVersionUID是为了防止在序列化时导致版本冲突,所以序列化后UID不同会报异常

1670590960_639331f0b0788c8779041.png!small?1670590961141

2. 能被远程访问的类RmiObject(需要继承UnicastRemoteObject类),类必须实现rmidemo接口。

    public class RmiObject extends UnicastRemoteObject implements rmidemo {  
protected RmiObject() throws RemoteException {}  
public String hello() throws RemoteException{}  
}

3. 注册远程对象(RMIRegistry):



public class server {  
public static void main(String[] args) throws RemoteException {  
rmidemo hello = new RmiObjct();//创建远程对象  
Registry registry = LocateRegistry.createRegistry(1099);//创建注册表  
registry.rebind("hello",hello);//将远程对象注册到注册表里面,并且设置值为hello  
}  
}

  • RMI Client。LocateRegistry.getRegistry进行连接,用到lookup()搜索对应方法,然后调用需要的远程方法:

    public class clientdemo {

    public static void main(String[] args) throws RemoteException, NotBoundException {
    Registry registry = LocateRegistry.getRegistry(“localhost”, 1099);//获取远程主机对象
    // 利用注册表的代理去查询远程注册表中名为hello的对象
    rmidemo hello = (rmidemo) registry.lookup(“hello”);
    // 调用远程方法
    System.out.println(hello.hello());
    }
    }

以上过程也可以用素十八大佬的一图概括:

1670590972_639331fca9ae900ac7ac7.png!small?1670590973376

RMI反序列化攻击

以CC1链利用AnnotationInvocationHandler进行攻击为例:

CC1的POC为:

package org.vulhub.Ser;  
import org.apache.commons.collections.Transformer;  
import org.apache.commons.collections.functors.ChainedTransformer;  
import
最低0.47元/天 解锁文章
白帽Allen
关注
java-rmi源码解析
weixin_44627989的博客
06-20 726
title: java-rmi源码解析 欢迎查看Eetal的第二十一篇博客–java-rmi源码解析 相关核心类 sun.rmi.server.UnicastServerRef sun.rmi.server.UnicastRef sun.rmi.server.Util sun.rmi.transport.tcp.TCPEndpoint sun.rmi.transport.LiveRef java...
RMI应用程序运行指南
最新发布
静水深流
05-25 1022
RMI应用程序运行指南:启动RMI注册表后,需依次运行服务器客户程序。关键配置包括安全管理器设置(创建rmi.policy文件授予权限)codebase属性配置(指定类文件位置)。常见问题如口冲突、类加载失败等可通过调整口、CLASSPATH或codebase设置解决。特别要注意服务器客户运行时需保持注册表正常运行,且传递自定义类型参数时必须正确设置codebase属性。生产环境应替换学习用的全权限策略为细粒度安全配置。
一个相当经典的RMI实例源代码及详细说明
04-23
一个相当经典的RMI实例源代码及详细说明
RMI源码分析
hezhaomeng的专栏
09-11 419
RMI源码分析 定义 RMI(Remote Method Invocation)是Java中的远程过程调用(Remote Procedure Call,RPC)实现,是一种分布式Java应用的实现方式 类层次结构 远程对象发布 远程引用层   源码解析 UserService实现 类定义 public class UserService extends Unicast...
Spring RMI源码分析
sinat_23002655的博客
05-22 452
1.客户RmiProxyFactoryBean继承关系 # RemotingSupport  # \----RemoteAccessor  #      \----UrlBasedRemoteAccessor  #           \----RemoteInvocationBasedAccessor  #                \----RmiClientIntercept
深入探讨RMI协议的应用场景及源码分析
### RMI协议的应用与研究知识点概述 #### RMI协议简介 RMI(Remote Method Invocation,远程方法调用)是Java语言提供的一种...- **RMIServer**:通常指服务器程序,负责提供远程对象,并响应客户的调用请求。
Java RMI实现的群私聊聊天室源码解析
知识点八:RMIClient.jar RMIServer.jar 文件 这两个jar文件分别代表了客户服务的程序包。其中,客户jar包含了所有需要在客户运行的类资源,服务jar包含了服务器需要运行的类资源。学习这两个jar...
Java RMI使用实例详解及HelloWorld源码剖析
通过以上实例的分析,我们可以了解到Java RMI的基本结构编程步骤,这对于开发需要远程方法调用的应用程序非常有用。需要注意的是,随着微服务架构的兴起,RESTful APIgRPC等轻量级通信方式逐渐成为替代传统RMI的...
远程服务RMI源码解析(一)
u012291108的博客
10-19 1810
Java远程方法调用,即JavaRMI(Java Remote Method Invocation),是Java编程语言里一种用于实现远程过程调用的应用程序编程接口。它使客户机上的运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能地简化远程接口对象的使用。 java RMI极大地依赖于接口。在需要创建一个远程对象时,程序员
JAVA RMI源码阅读理解
嘎嘎的博客
06-29 1767
最近尝试阅读了一番rmi的源码,尝试理解一下rmi的基本工作原理。 首先,奉上rmi在java中最简单的例子调用。 我们定义一个HelloService服务。 public interface HelloService extends Remote{ void sayHello() throws RemoteException; } 以及它的实现 public cla...
Java RMI实现远程控制程序及源代码
06-20
使用Java的RMI来实现远程控制的小程序,类似qq的远程协助。 本程序是根据网上看到的源代码改写而成,主要在用户界面服务与客户的交互上增加了许多功能,并对代码结构进行了重新组织。里面附有原作者的链接,有兴趣的朋友可以看下
RMIServer:RMI 服务器测试
06-06
RMI服务器 RMI 服务器测试 首先,你可以添加lipeRMI-0.4.jar 因此,您必须运行 TestMain.java 这个项目是 Java Application ,你不需要 Java EE with Tomcat。 不要忘记提供正确的IP地址! (你的电脑地址不同)
RMIregistry
11-11
这个是UCC中间件的实验,介绍RMI如何工作的了,步骤很详细。需要注意的是,在除了CMD里面运行以外,还应该注意在代码存放的目录中运行
rmi clientserver完整代码
11-24
rmi clientserver完整代码,亲测有效,实现远程访问
RMI资料详解
11-06
讲述 RMI 是什么,作用是什么,运行原理,主要用到的函数等。
Spring源码深度解析(郝佳)-学习-RMI使用及Spring源码解读
黄裳博客
04-21 533
        java远程方法调用。
安装rmiserver
weixin_33794672的博客
04-23 272
一、安装jdk[root@AY14041513373970594fZ local]# ll total 70416 drwxr-xr-x 4 root root 4096 Aug 16 2013 aegis drwxr-xr-x. 2 root root 4096 Apr 15 14:14 bin drwxr-xr-x. 2 root root 4...
RMI
luke_wang的专栏
02-04 1810
RMI = RPC + Serializable RMI(Remote Method Invocation)为远程方法调用,是允许运行在一个Java虚拟机的对象调用运行在另一个Java虚拟机上的对象的方法。 这两个虚拟机可以是运行在相同计算机上的不同进程中,也可以是运行在网络上的不同计算机中。RMI使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol
RMI心得 (注册口)
影枫.爪哇
09-08 566
虽然现在在分布式中RMI已经很少用到,但作为最简单的分布式应用,我们还是稍微了解一下好,这篇文章可能有我理解错误的地方,希望大家指出,谢谢。 RMI的基础是接口,RMI构架基于一个重要的原理:定义接口定义接口的具体实现是分开的。 一个简单的RMI系统,一般可以分成4个文件,下面来介绍各个文件的创建作用 第一步:创建一个远程对象接口 import java.rmi.Rem...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值