【Java基础】- Java rmi基础
2022-10-11 23:58:17 Author: 信安文摘(查看原文) 阅读量:13 收藏

基本概念RMI的组成代码实现    1. 创建接口    2. 实现接口类    3. 创建服务端    4. 客户端调用远程对象动态类加载和安全策略    1. 动态类加载    2. 安全策略参考链接

基本概念

RMI的全称是Rmote Method Invocation,即远程方法调用

远程服务器提供具体的类和方法,本地会通过某种方式获得远程类的一个代理,然后通过这个代理调用远程对象的方法,方法的参数是通过序列化与反序列化的方式传递的。

所以,1. 只要服务端的对象提供了一个方法,这个方法接收的是一个Object类型的参数,2. 且远程服务器的classpath中存在可利用pop链,那么我们就可以通过在客户端调用这个方法,并传递一个精心构造的对象的方式来攻击rmi服务。

RMI的组成

RMI模式中除了有Client与Server,还借助了一个Registry(注册中心)。rmi反序列化攻击就是攻击这个注册中心。

Server:提供具体的远程对象。

Registry:一个注册表,存放远程对象的位置(ip、端口等)。

Client:远程对象的调用者。

Registry先启动,并监听一个端口,一般为1099

Server向Registry注册远程对象

Client从Registry获得远程对象的代理(这个代理知道远程对象在网络中的具体位置:ip、端口、标识符),然后Client通过这个代理调用远程方法,Server也是有一个代理的,Server端的代理会收到Client端的调用的方法、参数等,然后代理执行对应方法,并将结果通过网络返回给Client。

图源参考链接:

代码实现

项目结构:

1. 创建接口

创建一个接口Hello,该接口需要继承Remote接口,接口所定义的方法需要抛出RemoteException错误:

package model;

import java.rmi.Remote;
import java.rmi.RemoteException;

public interface Hello extends Remote {
   public String welcome(String name) throws RemoteException;
}

2. 实现接口类

基于上面定义的接口实现一个类Helloimpl,该实现类需要继承UnicastRemoteObject类,同样重载的方法需要抛出RemoteException错误:

package model.impl;

import model.Hello;

import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;

public class Helloimpl extends UnicastRemoteObject implements Hello {
   @Override
   public String welcome(String name) throws RemoteException {
       return "Hello " + name;
  }

   public Helloimpl() throws RemoteException{

  }
}

3. 创建服务端

服务端创建了一个注册表,并注册了客户端需要的对象:

package server;

import model.Hello;
import model.impl.Helloimpl;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class Server {
   public static void main(String[] args) throws RemoteException{
       // 创建对象
       Hello hello = new Helloimpl();
       // 创建注册表
       Registry registry = LocateRegistry.createRegistry(1099);
       // 绑定对象到注册表,并给他取名为hello
       registry.rebind("hello", hello);
  }
}

4. 客户端调用远程对象

package client;
import model.Hello;
import java.rmi.NotBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class Client {
   public static void main(String[] args) throws RemoteException, NotBoundException {
       // 获取到注册表的代理
       Registry registry = LocateRegistry.getRegistry("localhost", 1099);
       // 利用注册表的代理去查询远程注册表中名为hello的对象
       Hello hello = (Hello) registry.lookup("hello");
       // 调用远程方法
       System.out.println(hello.welcome("axin"));
  }
}

调用的远程方法如果需要传入参数,需要保证参数是可序列化的。这里传的参数为字符串,可序列化。如果传参是自定义的对象,那么这个对象需要实现Serilizable接口。

先启动服务端,再启动客户端,可以看到客户端已经成功调用远程方法:

如果服务端和客户端在不同机器上,需要保证远程调用对象所实现的那个接口(这里是Hello接口)在服务端和客户端都存在,因为客户端有一个实例化的过程。

动态类加载和安全策略

1. 动态类加载

如果客户端在调用时,传递了一个可序列化对象,这个对象在服务端不存在,则在服务端会抛出 ClassNotFound 的异常,但是 RMI 支持动态类加载,如果设置了 java.rmi.server.codebase,则会尝试从其中的地址获取 .class 并加载及反序列化。

可使用 System.setProperty("java.rmi.server.codebase", "http://127.0.0.1:9999/"); 进行设置,或使用启动参数 -Djava.rmi.server.codebase="http://127.0.0.1:9999/" 进行指定。

2. 安全策略

上面的通过网络加载外部类并执行方法,所以我们必须要有一个安全管理器来进行管理,如果没有设置安全管理,则 RMI 不会动态加载任何类,通常我们使用:

if (System.getSecurityManager() == null) {
   System.setSecurityManager(new RMISecurityManager());
}

安全管理器应与管理策略相辅相成,所以我们还需要提供一个策略文件,里面配置允许哪些主机进行哪些操作,这里为了方便测试,直接设置全部权限:

rmi.policy

// Standard extensions get all permissions by default

grant {
permission java.security.AllPermission;
};

同样可以使用 -Djava.security.policy=rmi.policySystem.setProperty("java.security.policy", RemoteServer.class.getClassLoader().getResource("rmi.policy").toString()); 来进行设置。

参考链接

https://github.com/Maskhe/javasec/blob/master/6.java%20rmi%E5%9F%BA%E7%A1%80.md

https://su18.org/post/rmi-attack/


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3OTEwMzIzNA==&mid=2247484533&idx=1&sn=434b682798b8f9960005cd1552a12cdc&chksm=cf08d818f87f510e6bcdad780374d50302409a121eb40bc1805d3f4088708d9dd3f0ab1f26a2#rd
如有侵权请联系:admin#unsafe.sh