Pentesting JDWP - Java Debug Wire Protocol
Wykorzystywanie
Wykorzystanie JDWP opiera się na braku uwierzytelniania i szyfrowania protokołu. Zazwyczaj znajduje się na porcie 8000, ale możliwe są inne porty. Pierwsze połączenie jest nawiązywane poprzez wysłanie "JDWP-Handshake" do docelowego portu. Jeśli usługa JDWP jest aktywna, odpowiada tym samym ciągiem znaków, potwierdzając swoją obecność. Ten handshake działa jako metoda identyfikacji usług JDWP w sieci.
Jeśli chodzi o identyfikację procesu, wyszukiwanie ciągu znaków "jdwk" w procesach Java może wskazywać na aktywną sesję JDWP.
Narzędziem, które warto użyć, jest jdwp-shellifier. Można go używać z różnymi parametrami:
Zauważyłem, że użycie --break-on 'java.lang.String.indexOf'
sprawia, że exploit jest bardziej stabilny. Jeśli masz możliwość przesłania backdooru na host i wykonania go zamiast wykonania polecenia, exploit będzie jeszcze bardziej stabilny.
Więcej szczegółów
To jest podsumowanie https://ioactive.com/hacking-java-debug-wire-protocol-or-how/. Sprawdź to, aby uzyskać więcej informacji.
Przegląd JDWP:
Jest to pakietowy protokół binarny sieciowy, głównie synchroniczny.
Brak uwierzytelniania i szyfrowania sprawia, że jest podatny na ataki w przypadku wystawienia na nieprzyjazne sieci.
Handshake JDWP:
Prosty proces handshake'u jest używany do inicjowania komunikacji. Pomiędzy Debuggerem (klientem) a Debuggee (serwerem) wymieniany jest 14-znakowy ciąg ASCII "JDWP-Handshake".
Komunikacja JDWP:
Wiadomości mają prostą strukturę z polami takimi jak Długość, Identyfikator, Flaga i ZestawPolecenie.
Wartości ZestawPolecenie mieszczą się w zakresie od 0x40 do 0x80, reprezentują różne akcje i zdarzenia.
Eksploatacja:
JDWP umożliwia ładowanie i wywoływanie dowolnych klas i kodu bajtowego, co stwarza ryzyko bezpieczeństwa.
W artykule opisano proces eksploatacji w pięciu krokach, obejmujący pobieranie odwołań do środowiska wykonawczego Javy, ustawianie punktów przerwania i wywoływanie metod.
Eksploatacja w życiu codziennym:
Pomimo potencjalnych zabezpieczeń zapory sieciowej, usługi JDWP są wykrywalne i podatne na eksploatację w rzeczywistych scenariuszach, jak pokazują wyszukiwania na platformach takich jak ShodanHQ i GitHub.
Skrypt eksploatacyjny został przetestowany na różnych wersjach JDK i jest niezależny od platformy, oferując niezawodne zdalne wykonanie kodu (RCE).
Konsekwencje dla bezpieczeństwa:
Obecność otwartych usług JDWP w Internecie podkreśla potrzebę regularnych przeglądów bezpieczeństwa, wyłączania funkcji debugowania w produkcji i odpowiedniej konfiguracji zapory sieciowej.
Odnośniki:
http://www.secdev.org/projects/scapy(no longer active)
http://www.hsc-news.com/archives/2013/000109.html (no longer active)
https://github.com/search?q=-Xdebug+-Xrunjdwp&type=Code&ref=searchresults
Last updated