Trickest का उपयोग करें और आसानी से वर्ल्ड के सबसे उन्नत समुदाय उपकरणों द्वारा संचालित वर्कफ़्लो बनाएं और स्वचालित करें।
आज ही पहुंचें:
मूल जानकारी
जावा रिमोट मेथड इनवोकेशन, या जावा आरएमआई, एक ऑब्जेक्ट ओरिएंटेड RPC तंत्र है जो एक जावा वर्चुअल मशीन में स्थित एक ऑब्जेक्ट को दूसरे जावा वर्चुअल मशीन में स्थित एक ऑब्जेक्ट पर मेथड कॉल करने की अनुमति देता है। यह डेवलपर्स को ऑब्जेक्ट-ओरिएंटेड पैराडाइम का उपयोग करके वितरित एप्लिकेशन लिखने की सुविधा प्रदान करता है। एक ऑफेंसिव दृष्टिकोण से जावा आरएमआई का एक संक्षिप्त परिचय इस ब्लैकहैट टॉक में मिल सकता है।
PORT STATE SERVICE VERSION
1090/tcp open ssl/java-rmi Java RMI
9010/tcp open java-rmi Java RMI
37471/tcp open java-rmi Java RMI
40259/tcp open ssl/java-rmi Java RMI
आम तौर पर, केवल डिफ़ॉल्ट Java RMI components (RMI Registry और Activation System) सामान्य पोर्ट्स से बांधे जाते हैं। वास्तविक RMI एप्लिकेशन को लागू करने वाले remote objects आम तौर पर रैंडम पोर्ट्स से बांधे जाते हैं जैसा कि ऊपर की आउटपुट में दिखाया गया है।
कभी-कभी nmap को SSL सुरक्षित RMI सेवाएं पहचानने में समस्याएं हो सकती हैं। यदि आप किसी सामान्य RMI पोर्ट पर एक अज्ञात ssl सेवा का सामना करते हैं, तो आपको और अधिक जांच करनी चाहिए।
RMI Components
To put it in simple terms, Java RMI allows a developer to make a Java object available on the network. This opens up a TCP port where clients can connect and call methods on the corresponding object. Despite this sounds simple, there are several challenges that Java RMI needs to solve:
जवा RMI के माध्यम से एक मेथड कॉल डिस्पैच करने के लिए, क्लाइंट को आईपी पता, सुनने वाला पोर्ट, किया गया क्लास या इंटरफेस और लक्षित ऑब्जेक्ट का ObjID (ऑब्जेक्ट को नेटवर्क पर उपलब्ध कराया जाता है जब एक अद्वितीय और यादृच्छिक पहचानकर्ता बनाया जाता है। यह इसलिए आवश्यक है क्योंकि जवा RMI कई ऑब्जेक्ट्स को सुनने वाले एक ही TCP पोर्ट पर सुनने की अनुमति देता है)।
रिमोट क्लाइंट्स सर्वर पर साधित ऑब्जेक्ट पर मेथड को आमंत्रित करके संसाधित संसाधित कर सकते हैं। जवा वर्चुअल मशीन को ट्रैक करने की आवश्यकता होती है कि इन सभी संसाधित संसाधित कितने उपयोग में हैं और कितने उनमें से गार्बेज कलेक्ट किया जा सकता है।
पहली चुनौती को जवा RMI के लिए नाम सेवा है, जो मूल रूप से जवा RMI के लिए एक नाम सेवा है। RMI रजिस्ट्री भी एक RMI सेवा है, लेकिन संसाधित इंटरफेस और ObjID सभी RMI क्लाइंट्स द्वारा जाने जाते हैं। यह RMI क्लाइंट्स को संबंधित TCP पोर्ट को जानकर RMI रजिस्ट्री का उपभोग करने देता है।
जब डेवलपर अपने जवा ऑब्जेक्ट्स को नेटवर्क में उपलब्ध करना चाहते हैं, तो वे आम तौर पर उन्हें एक RMI रजिस्ट्री से बाइंड करते हैं। रजिस्ट्री सभी जानकारी को संग्रहित करता है जो ऑब्जेक्ट से कनेक्ट करने के लिए आवश्यक है (आईपी पता, सुनने वाला पोर्ट, संसाधित क्लास या इंटरफेस और ObjID मान) और इसे एक मानव योग्य नाम के तहत उपलब्ध कराता है (बाउंड नाम)। जो रजिस्ट्री चाहते हैं कि वे RMI सेवा का उपभोग करना चाहते हैं, वे रजिस्ट्री से संबंधित बाउंड नाम के लिए पूछते हैं और रजिस्ट्री सभी आवश्यक जानकारी को कनेक्ट करने के लिए लौटाता है। इस प्रकार, स्थिति मूल रूप से एक साधारण DNS सेवा के साथ समान है। निम्नलिखित सूची एक छोटा उदाहरण दिखाती है:
importjava.rmi.registry.Registry;importjava.rmi.registry.LocateRegistry;importlab.example.rmi.interfaces.RemoteService;publicclassExampleClient {privatestaticfinalString remoteHost ="172.17.0.2";privatestaticfinalString boundName ="remote-service";publicstaticvoidmain(String[] args){try {Registry registry =LocateRegistry.getRegistry(remoteHost); // Connect to the RMI registryRemoteService ref = (RemoteService)registry.lookup(boundName); // Lookup the desired bound nameString response =ref.remoteMethod(); // Call a remote method} catch( Exception e) {e.printStackTrace();}}}
उपर उल्लिखित चुनौतियों में दूसरी चुनौती को वितरित कचरावाला संग्राहक (DGC) द्वारा हल किया जाता है। यह एक और आरएमआई सेवा है जिसमें एक अच्छे जानकारी वाला ObjID मान होता है और यह मौजूदा प्रकार के प्रत्येक आरएमआई अंत-बिंदु पर उपलब्ध है। जब एक आरएमआई ग्राहक एक आरएमआई सेवा का उपयोग करना शुरू करता है, तो यह डीजीसी को एक सूचना भेजता है कि संबंधित दूरस्थ वस्तु का उपयोग हो रहा है। डीजीसी फिर संदर्भ गणना को ट्रैक कर सकता है और अप्रयुक्त वस्तुओं को साफ करने में सक्षम होता है।
पुराने सक्रियण प्रणाली के साथ, ये जावा आरएमआई के तीन डिफ़ॉल्ट घटक हैं:
आरएमआई रजिस्ट्री (ObjID = 0)
सक्रियण प्रणाली (ObjID = 1)
वितरित कचरावाला संग्राहक (ObjID = 2)
जावा आरएमआई के डिफ़ॉल्ट घटकों को काफी समय से ज्ञात हमले के स्रोत के रूप में जाना जाता है और पुराने जावा संस्करणों में कई सुरक्षा दोष मौजूद हैं। हमलावर की दृष्टि से, ये डिफ़ॉल्ट घटक दिलचस्प हैं, क्योंकि इसमें ज्ञात कक्षाएँ / इंटरफेस को अमल में लाया गया है और उनके साथ संवाद करना आसान है। यह स्थिति कस्टम आरएमआई सेवाओं के लिए अलग है। दूरस्थ वस्तु पर एक विधि को बुलाने के लिए, आपको पहले से ही संबंधित विधि हस्ताक्षर को जानना चाहिए। मौजूदा विधि हस्ताक्षर को न जानने के बिना, किसी आरएमआई सेवा से संवाद करने का कोई तरीका नहीं है।
आरएमआई जाँच
remote-method-guesser एक जावा आरएमआई सुरक्षा स्कैनर है जो सामान्य आरएमआई सुरक्षा दोषों की पहचान करने में सक्षम है। जब भी आप किसी आरएमआई अंत-बिंदु की पहचान करते हैं, तो इसे एक बार आजमाएं:
$ rmg enum 172.17.0.2 9010
[+] RMI registry bound names:
[+]
[+] - plain-server2
[+] --> de.qtc.rmg.server.interfaces.IPlainServer (unknown class)
[+] Endpoint: iinsecure.dev:37471 TLS: no ObjID: [55ff5a5d:17e0501b054:-7ff7, 3638117546492248534]
[+] - legacy-service
[+] --> de.qtc.rmg.server.legacy.LegacyServiceImpl_Stub (unknown class)
[+] Endpoint: iinsecure.dev:37471 TLS: no ObjID: [55ff5a5d:17e0501b054:-7ffc, 708796783031663206]
[+] - plain-server
[+] --> de.qtc.rmg.server.interfaces.IPlainServer (unknown class)
[+] Endpoint: iinsecure.dev:37471 TLS: no ObjID: [55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]
[+]
[+] RMI server codebase enumeration:
[+]
[+] - http://iinsecure.dev/well-hidden-development-folder/
[+] --> de.qtc.rmg.server.legacy.LegacyServiceImpl_Stub
[+] --> de.qtc.rmg.server.interfaces.IPlainServer
[+]
[+] RMI server String unmarshalling enumeration:
[+]
[+] - Caught ClassNotFoundException during lookup call.
[+] --> The type java.lang.String is unmarshalled via readObject().
[+] Configuration Status: Outdated
[+]
[+] RMI server useCodebaseOnly enumeration:
[+]
[+] - Caught MalformedURLException during lookup call.
[+] --> The server attempted to parse the provided codebase (useCodebaseOnly=false).
[+] Configuration Status: Non Default
[+]
[+] RMI registry localhost bypass enumeration (CVE-2019-2684):
[+]
[+] - Caught NotBoundException during unbind call (unbind was accepeted).
[+] Vulnerability Status: Vulnerable
[+]
[+] RMI Security Manager enumeration:
[+]
[+] - Security Manager rejected access to the class loader.
[+] --> The server does use a Security Manager.
[+] Configuration Status: Current Default
[+]
[+] RMI server JEP290 enumeration:
[+]
[+] - DGC rejected deserialization of java.util.HashMap (JEP290 is installed).
[+] Vulnerability Status: Non Vulnerable
[+]
[+] RMI registry JEP290 bypass enmeration:
[+]
[+] - Caught IllegalArgumentException after sending An Trinh gadget.
[+] Vulnerability Status: Vulnerable
[+]
[+] RMI ActivationSystem enumeration:
[+]
[+] - Caught IllegalArgumentException during activate call (activator is present).
[+] --> Deserialization allowed - Vulnerability Status: Vulnerable
[+] --> Client codebase enabled - Configuration Status: Non Default
जांच कार्रवाई का आउटपुट परियोजना के दस्तावेज़ पृष्ठों में अधिक विस्तार से समझाया गया है। परिणाम के आधार पर, आपको पहचानी गई सुरक्षा दोषों की पुष्टि करने का प्रयास करना चाहिए।
remote-method-guesser द्वारा प्रदर्शित ObjID मानों का उपयोग सेवा के अपटाइम का निर्धारण करने के लिए किया जा सकता है। यह अन्य सुरक्षा दोषों की पहचान करने की अनुमति देता है:
जब भी निरूपण के दौरान कोई कमजोरियां पहचानी नहीं गई हो, तो उपलब्ध RMI सेवाएं अभी भी खतरनाक फ़ंक्शन्स को उजागर कर सकती हैं। इसके अतिरिक्त, RMI डिफ़ॉल्ट घटकों के साथ RMI संचार को डिसीरियलाइज़ेशन फ़िल्टर्स द्वारा सुरक्षित किया जाता है, जब कस्टम RMI सेवाओं से बात की जाती है, तो ऐसे फ़िल्टर्स आम तौर पर स्थान पर नहीं होते हैं। RMI सेवाओं पर मान्य मेथड सिग्नेचर्स को जानना इसलिए मूल्यवान है।
दुर्भाग्यवशः, Java RMI दूरस्थ वस्तुओं पर विधियों का निरूपण समर्थन नहीं करता है। इसके बावजूद, remote-method-guesser या rmiscout जैसे उपकरणों के साथ मेथड सिग्नेचर्स को ब्रूटफ़ोर्स किया जा सकता है:
अनुमान लगाने के अलावा, आपको खोज इंजन या GitHub में भी देखना चाहिए एक आते हुए RMI सेवा के इंटरफेस या यहाँ तक कि अंकित RMI सेवा के अंतर्निहित विवरण के लिए। बाउंड नाम और अंकित कक्षा या इंटरफेस का नाम यहाँ मददगार हो सकता है।
ज्ञात इंटरफेस
remote-method-guesser कक्षाओं या इंटरफेस को ज्ञात चिह्नित करता है अगर वे ज्ञात RMI सेवाओं के उपकरण की आंतरिक डेटाबेस में सूचीबद्ध हैं। इन मामलों में आप ज्ञात कार्रवाई का उपयोग करके संबंधित RMI सेवा के बारे में अधिक जानकारी प्राप्त कर सकते हैं:
$ rmg enum 172.17.0.2 1090 | head -n 5
[+] RMI registry bound names:
[+]
[+] - jmxrmi
[+] --> javax.management.remote.rmi.RMIServerImpl_Stub (known class: JMX Server)
[+] Endpoint: localhost:41695 TLS: no ObjID: [7e384a4f:17e0546f16f:-7ffe, -553451807350957585]
$ rmg known javax.management.remote.rmi.RMIServerImpl_Stub
[+] Name:
[+] JMX Server
[+]
[+] Class Name:
[+] - javax.management.remote.rmi.RMIServerImpl_Stub
[+] - javax.management.remote.rmi.RMIServer
[+]
[+] Description:
[+] Java Management Extensions (JMX) can be used to monitor and manage a running Java virtual machine.
[+] This remote object is the entrypoint for initiating a JMX connection. Clients call the newClient
[+] method usually passing a HashMap that contains connection options (e.g. credentials). The return
[+] value (RMIConnection object) is another remote object that is when used to perform JMX related
[+] actions. JMX uses the randomly assigned ObjID of the RMIConnection object as a session id.
[+]
[+] Remote Methods:
[+] - String getVersion()
[+] - javax.management.remote.rmi.RMIConnection newClient(Object params)
[+]
[+] References:
[+] - https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html
[+] - https://github.com/openjdk/jdk/tree/master/src/java.management.rmi/share/classes/javax/management/remote/rmi
[+]
[+] Vulnerabilities:
[+]
[+] -----------------------------------
[+] Name:
[+] MLet
[+]
[+] Description:
[+] MLet is the name of an MBean that is usually available on JMX servers. It can be used to load
[+] other MBeans dynamically from user specified codebase locations (URLs). Access to the MLet MBean
[+] is therefore most of the time equivalent to remote code execution.
[+]
[+] References:
[+] - https://github.com/qtc-de/beanshooter
[+]
[+] -----------------------------------
[+] Name:
[+] Deserialization
[+]
[+] Description:
[+] Before CVE-2016-3427 got resolved, JMX accepted arbitrary objects during a call to the newClient
[+] method, resulting in insecure deserialization of untrusted objects. Despite being fixed, the
[+] actual JMX communication using the RMIConnection object is not filtered. Therefore, if you can
[+] establish a working JMX connection, you can also perform deserialization attacks.
[+]
[+] References:
[+] - https://github.com/qtc-de/beanshooter
Protocol_Name: Java RMI #Protocol Abbreviation if there is one.
Port_Number: 1090,1098,1099,1199,4443-4446,8999-9010,9999 #Comma separated if there is more than one.
Protocol_Description: Java Remote Method Invocation #Protocol Abbreviation Spelled out
Entry_1:
Name: Enumeration
Description: Perform basic enumeration of an RMI service
Command: rmg enum {IP} {PORT}
Trickest का उपयोग करें और आसानी से विश्व के सबसे उन्नत समुदाय उपकरणों द्वारा संचालित कार्यप्रवाह बनाएं और स्वचालित करें।
आज ही पहुंचें:
