从RMI Registry中转储动态端口信息
阅读: 6
ONC/Sun RPC有个rpcinfo,可以列出向rpcbind注册过的所有动态端口。Java RMI没有官方工具完成类似任务,只有第三方工具或自己编程实现。
文章目录
1) rmiinfo.java
/*
* javac -encoding GBK -g rmiinfo.java
* java rmiinfo 192.168.65.23 1099
*/
import java.rmi.registry.*;
public class rmiinfo
{
public static void main ( String ] argv ) throws Exception
{
String addr = argv 0];
int port = Integer.parseInt( argv 1] );
Registry r = LocateRegistry.getRegistry( addr, port );
String ] names = r.list();
// for ( int i = 0; i < names.length; i++ )
// {
// System.out.println( names i] );
// }
for ( String name : names )
{
System.out.println( name );
}
}
}
这是最简单也最无用的工具,只能从RMI Registry中转储所有绑定过的name。
2) rmi-dumpregistry.nse
nmap提供了一个脚本:
https://nmap.org/nsedoc/scripts/rmi-dumpregistry.html
https://svn.nmap.org/nmap/scripts/rmi-dumpregistry.nse
$ nmap -n -Pn -p 1099 --script rmi-dumpregistry.nse 192.168.65.23 PORT STATE SERVICE 1099/tcp open java-rmi | rmi-dumpregistry: | any | implements java.rmi.Remote, HelloRMIInterface, | extends | java.lang.reflect.Proxy | fields | Ljava/lang/reflect/InvocationHandler; h | java.rmi.server.RemoteObjectInvocationHandler | @192.168.65.23:42524 | extends |_ java.rmi.server.RemoteObject
nmap的”-sC”或”–script=default”默认会调用上述脚本。
3) rmiregistry_detect.nasl
Nessus提供了一个插件,可以从RMI周知端口转储那些向之注册过的动态端口信息。
$ nasl -t 192.168.65.23 rmiregistry_detect.nasl
Valid response recieved for port 1099:
0x00: 51 AC ED 00 05 77 0F 01 A6 D3 99 DA 00 00 01 71 Q....w.........q
0x10: A7 28 23 89 80 05 75 72 00 13 5B 4C 6A 61 76 61 .(#...ur.. Ljava
0x20: 2E 6C 61 6E 67 2E 53 74 72 69 6E 67 3B AD D2 56 .lang.String;..V
0x30: E7 E9 1D 7B 47 02 00 00 70 78 70 00 00 00 01 74 ...{G...pxp....t
0x40: 00 03 61 6E 79 ..any
Here is a list of objects the remote RMI registry is currently
aware of :
rmi://192.168.65.23:42524/any
rmiregistry_detect.nasl的解码能力比nmap脚本rmi-dumpregistry.nse差远了,但
最关键的name与动态端口之间的映射关系被解码后显示出来。
单扫rmiregistry_detect.nasl有点慢,可以自己精简一下插件。此外,NASL语法直白,很容易改写成Python版本。
4) jndiinfo.java
之前以为必须进行socket编程才能从RMI Registry中转储动态端口信息,后来意识到
lookup()返回的其实是RemoteObject在本地的代理,其中必有ref信息。先list(),
再对每个name依次lookup(),然后输出返回的Object的字符串形式。后来发现另一批
API:
com.sun.jndi.rmi.registry.RegistryContext.listBindings()
com.sun.jndi.rmi.registry.BindingEnumeration.hasMore()
com.sun.jndi.rmi.registry.BindingEnumeration.next()
其实就是list()、lookup()的封装。
参看:
/*
* javac -encoding GBK -g jndiinfo.java
*/
import javax.naming.*;
public class jndiinfo
{
private static void addspace ( StringBuilder sb, int indent, int spacenum )
{
for ( int i = 0; i < indent * spacenum; i++ )
{
sb.append( ' ' );
}
}
private static String PrivateFormat ( String sth, int spacenum )
{
if ( null == sth || "".equals( sth ) )
{
return "";
}
StringBuilder sb = new StringBuilder();
char cur;
int indent = 0;
for ( int i = 0; i < sth.length(); i++ )
{
cur = sth.charAt( i );
switch ( cur )
{
case '{' :
case ' ' :
sb.append( '/n' );
addspace( sb, indent, spacenum );
sb.append( cur );
sb.append( '/n' );
indent++;
addspace( sb, indent, spacenum );
break;
case '}' :
case ']' :
sb.append( '/n' );
indent--;
addspace( sb, indent, spacenum );
sb.append( cur );
break;
case ',' :
sb.append( cur );
sb.append( '/n' );
addspace( sb, indent, spacenum );
break;
case ' ' :
/*
* 相当于删除所有空格
*/
break;
default :
sb.append( cur );
}
}
return sb.toString();
}
/*
* 这段代码将自身置于极其危险的境地,对不明远程目标使用时至少要在JVM参
* 数中启用SecurityManager,勿谓言之不预。
*/
public static void main ( String ] argv ) throws Exception
{
/*
* 保持一般性,使用JNDI,用JVM参数传递env
*/
Context ctx = new InitialContext();
/*
* 形参只能传空串
*/
NamingEnumeration bindings = ctx.listBindings( "" );
while ( bindings.hasMore() )
{
Binding bd = ( Binding )bindings.next();
System.out.println
(
String.format
(
"%s - %s - %s",
bd.getName(),
bd.getClassName(),
PrivateFormat
(
bd.getObject().toString(),
4
)
)
);
}
ctx.close();
}
}
java / -Djava.naming.factory.initial=com.sun.jndi.rmi.registry.RegistryContextFactory / -Djava.naming.provider.url=rmi://192.168.65.23:1099 / jndiinfo
输出形如:
any - com.sun.proxy.$Proxy0 - Proxy HelloRMIInterface, RemoteObjectInvocationHandler UnicastRef2 liveRef: endpoint: 192.168.65.23:42524 ](remote), objID: 3e2be595:171a728632c:-7fff, 1669433444583981789 ] ] ] ] ]
保持一般性,使用JNDI,用JVM参数传递env。这样理论上或可用于其他周知端口,比如侦听1050/TCP的orbd:
java / -Djava.naming.factory.initial=com.sun.jndi.cosnaming.CNCtxFactory / -Djava.naming.provider.url=iiop://192.168.65.23:1050 / jndiinfo
输出形如:
any - _HelloRMIInterface_Stub - IOR:...
JNDI封装未对IOR后面的数据解码显示,直接显示16进制字节流,这种场景没啥大用。
还可以试试:
java / -Djava.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory / -Djava.naming.provider.url=ldap://192.168.65.23:10389/o=anything,dc=evil,dc=com / jndiinfo
输出形如:
cn=any - HelloRMIInterfaceImpl - HelloRMIInterfaceImpl UnicastServerRef liveRef: endpoint: 127.0.0.1:36388 ](local), objID: 793e717a:171a755a9fc:-7fff, 6413047511569805657 ] ] ] ]
下面这种我没试过,感兴趣者可以自己试:
java / -cp "wlthint3client.jar:." / -Djava.naming.factory.initial=weblogic.jndi.WLInitialContextFactory / -Djava.naming.provider.url=t3://192.168.65.23:7001 / jndiinfo
4.1) jndiinfo.policy
rmiinfo.java、jndiinfo.java很容易受到恶意服务端的攻击。对不明远程目标使用
时建议在客户端使用虚拟机,至少要在JVM参数中启用SecurityManager。虽然客户端CLASSPATH中不一定存在Gadget链的依赖库,但你不知道有什么0day在远端等着你。
不要只想着搞人,总有被反搞的一天。干咱们这行,在这个恶意满满的时代,未谋胜先谋败。
grant
{
permission java.net.SocketPermission "192.168.65.23:1099", "connect,resolve";
};
java / -Djava.security.manager / -Djava.security.policy=jndiinfo.policy / -Djava.naming.factory.initial=com.sun.jndi.rmi.registry.RegistryContextFactory / -Djava.naming.provider.url=rmi://192.168.65.23:1099 / jndiinfo
就这种PoC而言,不太喜欢在在代码中启用SecurityManager。jndiinfo.java中只有必要代码,可以避免初看者失焦。
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
