Użyj Trickest, aby łatwo tworzyć i automatyzować przepływy pracy z wykorzystaniem najbardziej zaawansowanych narzędzi społeczności.
Otrzymaj dostęp już dziś:
Podstawowe informacje
Java Remote Method Invocation, czyli Java RMI, to obiektowy mechanizm RPC, który pozwala obiektowi znajdującemu się w jednej maszynie wirtualnej Java wywoływać metody obiektu znajdującego się w innej maszynie wirtualnej Java. Pozwala to programistom pisać aplikacje rozproszone z wykorzystaniem paradygmatu zorientowanego obiektowo. Krótka prezentacja Java RMI z perspektywy ofensywnej znajduje się w tym wystąpieniu na konferencji Black Hat.
PORT STATE SERVICE VERSION
1090/tcp open ssl/java-rmi Java RMI
9010/tcp open java-rmi Java RMI
37471/tcp open java-rmi Java RMI
40259/tcp open ssl/java-rmi Java RMI
Zazwyczaj tylko domyślne komponenty Java RMI (Rejestr RMI i System Aktywacji) są powiązane z powszechnymi portami. Obiekty zdalne, które implementują rzeczywistą aplikację RMI, są zazwyczaj powiązane z losowymi portami, jak pokazano powyżej.
nmap czasami ma problemy z identyfikacją usług SSL chronionych RMI. Jeśli napotkasz nieznaną usługę ssl na powszechnym porcie RMI, powinieneś przeprowadzić dalsze dochodzenie.
Komponenty RMI
W prostych słowach, Java RMI pozwala programiście udostępnić obiekt Java w sieci. Otwiera to port TCP, do którego klienci mogą się podłączyć i wywoływać metody na odpowiadającym obiekcie. Pomimo że brzmi to prosto, Java RMI musi rozwiązać kilka wyzwań:
Aby przekazać wywołanie metody za pomocą Java RMI, klienci muszą znać adres IP, port nasłuchiwania, zaimplementowaną klasę lub interfejs oraz ObjID docelowego obiektu ( ObjID to unikalny i losowy identyfikator tworzony podczas udostępniania obiektu w sieci. Jest on wymagany, ponieważ Java RMI pozwala wielu obiektom nasłuchiwać na tym samym porcie TCP).
Zdalni klienci mogą alokować zasoby na serwerze, wywołując metody na udostępnionym obiekcie. Maszyna wirtualna Java musi śledzić, które z tych zasobów są nadal używane, a które mogą być poddane garbage collection.
Pierwsze wyzwanie jest rozwiązywane przez rejestr RMI, który jest w zasadzie usługą nazw dla Java RMI. Sam rejestr RMI jest również usługą RMI, ale zaimplementowany interfejs i ObjID są ustalone i znane wszystkim klientom RMI. Pozwala to klientom RMI korzystać z rejestru RMI, znając tylko odpowiadający port TCP.
Kiedy programiści chcą udostępnić swoje obiekty Java w sieci, zazwyczaj powiązują je z rejstrem RMI. Rejestr przechowuje wszystkie informacje wymagane do połączenia z obiektem (adres IP, port nasłuchiwania, zaimplementowaną klasę lub interfejs oraz wartość ObjID) i udostępnia je pod czytelną nazwą (nazwa powiązana). Klienci, którzy chcą skorzystać z usługi RMI, pytają rejestr RMI o odpowiadającą nazwę powiązaną, a rejestr zwraca wszystkie wymagane informacje do połączenia. Dlatego sytuacja jest w zasadzie taka sama jak w przypadku zwykłej usługi DNS. Poniższy listing pokazuje mały przykład:
importjava.rmi.registry.Registry;importjava.rmi.registry.LocateRegistry;importlab.example.rmi.interfaces.RemoteService;publicclassExampleClient {privatestaticfinalString remoteHost ="172.17.0.2";privatestaticfinalString boundName ="remote-service";publicstaticvoidmain(String[] args){try {Registry registry =LocateRegistry.getRegistry(remoteHost); // Connect to the RMI registryRemoteService ref = (RemoteService)registry.lookup(boundName); // Lookup the desired bound nameString response =ref.remoteMethod(); // Call a remote method} catch( Exception e) {e.printStackTrace();}}}
Drugie z wyżej wymienionych wyzwań jest rozwiązane przez Rozproszony Kolektor Śmieci (DGC). To kolejna usługa RMI z znaną wartością ObjID, dostępna praktycznie na każdym punkcie końcowym RMI. Gdy klient RMI zaczyna korzystać z usługi RMI, wysyła informację do DGC, że odpowiadający obiekt zdalny jest w użyciu. DGC może śledzić liczbę odwołań i jest w stanie czyścić nieużywane obiekty.
Wraz z przestarzałym Systemem Aktywacji, są to trzy domyślne komponenty Java RMI:
Rejestr RMI (ObjID = 0)
System Aktywacji (ObjID = 1)
Rozproszony Kolektor Śmieci (ObjID = 2)
Domyślne komponenty Java RMI są od dłuższego czasu znanymi wektorami ataku, a wiele podatności istnieje w przestarzałych wersjach Java. Z perspektywy atakującego, te domyślne komponenty są interesujące, ponieważ implementują znane klasy / interfejsy i łatwo jest z nimi interakcjonować. Sytuacja ta jest inna dla niestandardowych usług RMI. Aby wywołać metodę na obiekcie zdalnym, trzeba znać odpowiadającą sygnaturę metody z góry. Bez znajomości istniejącej sygnatury metody nie ma możliwości komunikacji z usługą RMI.
Wyliczanie RMI
remote-method-guesser to skaner podatności Java RMI, który potrafi automatycznie identyfikować powszechne podatności RMI. Gdy zidentyfikujesz punkt końcowy RMI, powinieneś to wypróbować:
$ rmg enum 172.17.0.2 9010
[+] RMI registry bound names:
[+]
[+] - plain-server2
[+] --> de.qtc.rmg.server.interfaces.IPlainServer (unknown class)
[+] Endpoint: iinsecure.dev:37471 TLS: no ObjID: [55ff5a5d:17e0501b054:-7ff7, 3638117546492248534]
[+] - legacy-service
[+] --> de.qtc.rmg.server.legacy.LegacyServiceImpl_Stub (unknown class)
[+] Endpoint: iinsecure.dev:37471 TLS: no ObjID: [55ff5a5d:17e0501b054:-7ffc, 708796783031663206]
[+] - plain-server
[+] --> de.qtc.rmg.server.interfaces.IPlainServer (unknown class)
[+] Endpoint: iinsecure.dev:37471 TLS: no ObjID: [55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]
[+]
[+] RMI server codebase enumeration:
[+]
[+] - http://iinsecure.dev/well-hidden-development-folder/
[+] --> de.qtc.rmg.server.legacy.LegacyServiceImpl_Stub
[+] --> de.qtc.rmg.server.interfaces.IPlainServer
[+]
[+] RMI server String unmarshalling enumeration:
[+]
[+] - Caught ClassNotFoundException during lookup call.
[+] --> The type java.lang.String is unmarshalled via readObject().
[+] Configuration Status: Outdated
[+]
[+] RMI server useCodebaseOnly enumeration:
[+]
[+] - Caught MalformedURLException during lookup call.
[+] --> The server attempted to parse the provided codebase (useCodebaseOnly=false).
[+] Configuration Status: Non Default
[+]
[+] RMI registry localhost bypass enumeration (CVE-2019-2684):
[+]
[+] - Caught NotBoundException during unbind call (unbind was accepeted).
[+] Vulnerability Status: Vulnerable
[+]
[+] RMI Security Manager enumeration:
[+]
[+] - Security Manager rejected access to the class loader.
[+] --> The server does use a Security Manager.
[+] Configuration Status: Current Default
[+]
[+] RMI server JEP290 enumeration:
[+]
[+] - DGC rejected deserialization of java.util.HashMap (JEP290 is installed).
[+] Vulnerability Status: Non Vulnerable
[+]
[+] RMI registry JEP290 bypass enmeration:
[+]
[+] - Caught IllegalArgumentException after sending An Trinh gadget.
[+] Vulnerability Status: Vulnerable
[+]
[+] RMI ActivationSystem enumeration:
[+]
[+] - Caught IllegalArgumentException during activate call (activator is present).
[+] --> Deserialization allowed - Vulnerability Status: Vulnerable
[+] --> Client codebase enabled - Configuration Status: Non Default
Wynik działania enumeracji jest wyjaśniony bardziej szczegółowo na stronach dokumentacji projektu. W zależności od wyniku, należy spróbować zweryfikować zidentyfikowane podatności.
Wartości ObjID wyświetlane przez remote-method-guesser mogą być używane do określenia czasu działania usługi. Może to pomóc zidentyfikować inne podatności:
Nawet jeśli podczas wyliczania nie zidentyfikowano żadnych podatności, dostępne usługi RMI mogą nadal ujawniać niebezpieczne funkcje. Ponadto, pomimo że komunikacja RMI z domyślnymi komponentami RMI jest chroniona przez filtry deserializacji, w przypadku rozmów z niestandardowymi usługami RMI takie filtry zazwyczaj nie są wdrożone. Znajomość poprawnych sygnatur metod na usługach RMI jest zatem cenna.
Niestety, Java RMI nie obsługuje wyliczania metod na obiektach zdalnych. Niemniej jednak, możliwe jest próbowanie metod sygnatur za pomocą narzędzi takich jak remote-method-guesser lub rmiscout:
Oprócz zgadywania, powinieneś również szukać w wyszukiwarkach lub na GitHubie interfejsu lub nawet implementacji napotkanej usługi RMI. Nazwa związana oraz nazwa zaimplementowanej klasy lub interfejsu mogą być tutaj pomocne.
Znane Interfejsy
remote-method-guesser oznacza klasy lub interfejsy jako znane, jeśli są one wymienione w wewnętrznej bazie danych narzędzia znanych usług RMI. W tych przypadkach można użyć akcji znane aby uzyskać więcej informacji na temat odpowiadającej usługi RMI:
$ rmg enum 172.17.0.2 1090 | head -n 5
[+] RMI registry bound names:
[+]
[+] - jmxrmi
[+] --> javax.management.remote.rmi.RMIServerImpl_Stub (known class: JMX Server)
[+] Endpoint: localhost:41695 TLS: no ObjID: [7e384a4f:17e0546f16f:-7ffe, -553451807350957585]
$ rmg known javax.management.remote.rmi.RMIServerImpl_Stub
[+] Name:
[+] JMX Server
[+]
[+] Class Name:
[+] - javax.management.remote.rmi.RMIServerImpl_Stub
[+] - javax.management.remote.rmi.RMIServer
[+]
[+] Description:
[+] Java Management Extensions (JMX) can be used to monitor and manage a running Java virtual machine.
[+] This remote object is the entrypoint for initiating a JMX connection. Clients call the newClient
[+] method usually passing a HashMap that contains connection options (e.g. credentials). The return
[+] value (RMIConnection object) is another remote object that is when used to perform JMX related
[+] actions. JMX uses the randomly assigned ObjID of the RMIConnection object as a session id.
[+]
[+] Remote Methods:
[+] - String getVersion()
[+] - javax.management.remote.rmi.RMIConnection newClient(Object params)
[+]
[+] References:
[+] - https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html
[+] - https://github.com/openjdk/jdk/tree/master/src/java.management.rmi/share/classes/javax/management/remote/rmi
[+]
[+] Vulnerabilities:
[+]
[+] -----------------------------------
[+] Name:
[+] MLet
[+]
[+] Description:
[+] MLet is the name of an MBean that is usually available on JMX servers. It can be used to load
[+] other MBeans dynamically from user specified codebase locations (URLs). Access to the MLet MBean
[+] is therefore most of the time equivalent to remote code execution.
[+]
[+] References:
[+] - https://github.com/qtc-de/beanshooter
[+]
[+] -----------------------------------
[+] Name:
[+] Deserialization
[+]
[+] Description:
[+] Before CVE-2016-3427 got resolved, JMX accepted arbitrary objects during a call to the newClient
[+] method, resulting in insecure deserialization of untrusted objects. Despite being fixed, the
[+] actual JMX communication using the RMIConnection object is not filtered. Therefore, if you can
[+] establish a working JMX connection, you can also perform deserialization attacks.
[+]
[+] References:
[+] - https://github.com/qtc-de/beanshooter
Protocol_Name: Java RMI #Protocol Abbreviation if there is one.
Port_Number: 1090,1098,1099,1199,4443-4446,8999-9010,9999 #Comma separated if there is more than one.
Protocol_Description: Java Remote Method Invocation #Protocol Abbreviation Spelled out
Entry_1:
Name: Enumeration
Description: Perform basic enumeration of an RMI service
Command: rmg enum {IP} {PORT}
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy z wykorzystaniem najbardziej zaawansowanych narzędzi społecznościowych na świecie.
Otrzymaj dostęp już dziś:
