【技术分享】Java RMI 反序列化漏洞检测工具的编写

http://p9.qhimg.com/t018638e7e3b1a0ea56.png

作者:小天之天

预估稿费:400RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

成因

反序列化的漏洞已经有一段时间,针对weblogic,jboss的测试代码也已经非常成熟,但是发现针对RMI服务的测试停留在ysoserial阶段,只能通过执行命令来监听反弹linux shell,近期看了某位大牛写的关于RMI利用的代码,需要通过远程加载jar包来反弹shell,可是如果那台存在漏洞的主机不能出外网就不能反弹shell,通过私聊得知,大牛太忙没时间写。

介绍

Java RMI服务是远程方法调用(Remote Method Invocation)。它是一种机制,能够让在某个java虚拟机上的对象调用另一个Java虚拟机的对象的方法。

RMI传输过程必然会使用序列化和反序列化,如果RMI服务端端口对外开发,并且服务端使用了像Apache Commons Collections这类库,那么会导致远程命令执行。

代码分析

第一步:在固定的路径下,加载生成某个class文件;

第二步:加载生成的class文件执行命令,从而避免加载远程的jar文件,解决了主机不出外网照样可以反弹shell的问题。

执行命令的代码

http://p9.qhimg.com/t011ad86cb6a9f4356c.png

 New URL(ClaassPath)可以加载远程的jar包,此处加载的是本地的class文件,ErrorBaseExec类的do_exec方法来执行命令,从而需要先本地生成class文件。

生成本地class的代码

http://p0.qhimg.com/t017f435045ef1f5a30.png

调用FileOutputStream将byte数组write到本地路径生成ErrorBaseExec.class文件,

byte数组生成

http://p4.qhimg.com/t01904704bd73ae8afe.png

先将ErrorBaseExec.java文件,javac下成ErrorBaseExec.class文件,再将class文件解析成byte数组。其中ErrorBaseExec.java为了方便检测漏洞,会throw出包含8888的字符串,只要匹配到8888就说明存在漏洞

漏洞测试

漏洞测试代码attackRMI.jar支持cmd传参和不传参,测试结果分别如下:

http://p1.qhimg.com/t01dde0338ae94fc37c.png

http://p4.qhimg.com/t01a1d930a23c3058aa.png

为了国家网络以及企业的安全,对部分地区的部分IP段的1099和1090端口仅仅进行了漏洞测试和验证,并未进行控制或者窃取数据之类不道德不文明的行为,测试概况如下:

http://p3.qhimg.com/t01723964fbf3cfb7ad.png

为了方便安全运维人员进行漏洞验证性测试,请不要用来进行非法活动,测试工具如下:

链接: https://pan.baidu.com/s/1jHPKh50 密码: 28ye

(完)