06. JEP290

sources

• 知道创宇 漫谈JEP290 : https://paper.seebug.org/1689/

1. 什么是JEP290
2. 各种机制的实现与绕过?

   bypass

• UnicastRef Bypass JEP290 (jdk<=8u231) , 参考 https://xz.aliyun.com/t/8706#toc-13
• RMI Bypass JEP290(Jdk8u231) 参考 https://cert.360.cn/report/detail?id=add23f0eafd94923a1fa116a76dee0a1

bypass分析的话可以参考: https://xz.aliyun.com/t/7932#toc-1 这篇文章分析非常详细透彻.

TODO

1. bypass 复现
2. bypass 分析

QA

1. 为什么很多RMI的文章里面都会提到这个?

在这篇文章中提到, 配置JEP290需要手动设置,且只有设置了之后才会有过滤, 没有设置的话反序列化还是可以直接打的. 而设置JEP290有两种方式:

1. 通过setObjectInputFilter来设置filter
2. 直接通过conf/security/java.properties文件进行配置 参考

高版本JDK中 , RMI 就通过 setObjectInputFilter设置了filter(白名单), 在反序列化之前会检查..
所以bypass也都是针对RMI Attack的.