Pentesting JDWP - Java Debug Wire Protocol
Ucz się i ćwicz Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Natychmiastowo dostępna konfiguracja do oceny podatności i testów penetracyjnych. Przeprowadź pełny pentest z dowolnego miejsca z ponad 20 narzędziami i funkcjami, które obejmują od rekonesansu po raportowanie. Nie zastępujemy pentesterów - rozwijamy niestandardowe narzędzia, moduły wykrywania i eksploatacji, aby dać im z powrotem trochę czasu na głębsze badania, uzyskiwanie dostępu i zabawę.
Eksploatacja
Eksploatacja JDWP opiera się na braku uwierzytelniania i szyfrowania protokołu. Zwykle znajduje się na porcie 8000, ale możliwe są inne porty. Początkowe połączenie nawiązywane jest przez wysłanie "JDWP-Handshake" do docelowego portu. Jeśli usługa JDWP jest aktywna, odpowiada tym samym ciągiem, potwierdzając swoją obecność. Ten handshake działa jako metoda identyfikacji do rozpoznawania usług JDWP w sieci.
Jeśli chodzi o identyfikację procesów, wyszukiwanie ciągu "jdwk" w procesach Java może wskazywać na aktywną sesję JDWP.
Narzędziem, które warto użyć, jest jdwp-shellifier. Możesz go używać z różnymi parametrami:
Zauważyłem, że użycie --break-on 'java.lang.String.indexOf' sprawia, że exploit jest stabilniejszy. A jeśli masz możliwość przesłania backdoora na hosta i jego wykonania zamiast wykonywania polecenia, exploit będzie jeszcze bardziej stabilny.
Więcej szczegółów
To jest podsumowanie https://ioactive.com/hacking-java-debug-wire-protocol-or-how/. Sprawdź to, aby uzyskać więcej szczegółów.
Przegląd JDWP:
To protokół binarny oparty na pakietach, głównie synchroniczny.
Brak uwierzytelniania i szyfrowania, co czyni go podatnym na ataki, gdy jest narażony na wrogie sieci.
Uścisk dłoni JDWP:
Używany jest prosty proces uścisku dłoni do rozpoczęcia komunikacji. Wymieniana jest 14-znakowa ciąg ASCII „JDWP-Handshake” między Debuggerem (klientem) a Debuggee (serwerem).
Komunikacja JDWP:
Wiadomości mają prostą strukturę z polami takimi jak Długość, Id, Flaga i CommandSet.
Wartości CommandSet mieszczą się w zakresie od 0x40 do 0x80, reprezentując różne akcje i zdarzenia.
Eksploatacja:
JDWP pozwala na ładowanie i wywoływanie dowolnych klas i bajtów kodu, co stwarza zagrożenia dla bezpieczeństwa.
Artykuł szczegółowo opisuje proces eksploatacji w pięciu krokach, obejmujących pobieranie odniesień do Java Runtime, ustawianie punktów przerwania i wywoływanie metod.
Eksploatacja w rzeczywistości:
Pomimo potencjalnych zabezpieczeń zapory, usługi JDWP są wykrywalne i podatne na ataki w rzeczywistych scenariuszach, co zostało udowodnione przez wyszukiwania na platformach takich jak ShodanHQ i GitHub.
Skrypt exploita był testowany na różnych wersjach JDK i jest niezależny od platformy, oferując niezawodne zdalne wykonanie kodu (RCE).
Implikacje bezpieczeństwa:
Obecność otwartych usług JDWP w internecie podkreśla potrzebę regularnych przeglądów bezpieczeństwa, wyłączania funkcji debugowania w produkcji oraz odpowiedniej konfiguracji zapory.
Referencje:
http://www.secdev.org/projects/scapy(no longer active)
http://www.hsc-news.com/archives/2013/000109.html (no longer active)
https://github.com/search?q=-Xdebug+-Xrunjdwp&type=Code&ref=searchresults
Natychmiast dostępne ustawienie do oceny podatności i testów penetracyjnych. Przeprowadź pełny pentest z dowolnego miejsca z 20+ narzędziami i funkcjami, które obejmują od rekonesansu po raportowanie. Nie zastępujemy pentesterów - rozwijamy niestandardowe narzędzia, moduły wykrywania i eksploatacji, aby dać im z powrotem trochę czasu na głębsze badania, otwieranie powłok i zabawę.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Last updated
