如何使用Ermir研究Java RMI Registry安全 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

安全管理

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

如何使用Ermir研究Java RMI Registry安全

Alpha_h4ck 2022-11-02 00:35:10 243875

所属地广西

关于Ermir

Ermir是一款功能强大的Java RMI Registry安全研究工具，该工具可以利用那些调用了标准RMI方法的Java代码中的不安全反序列化操作。

工具运行机制

java.rmi.registry.Registry提供了五种方法：list()、lookup()、bind()、rebind()、unbind()。

public Remote lookup(String name)

lookup()方法会搜索Registry中的一个绑定对象，并返回一个远程对象，返回的对象使用MarshalInputStream.readObject()方法读取。Ermir可以使用gadgetmarshal来序列化指定的对象来满足MarshalInputStream的要求：

public String[] list()

list()方法会要求Registry提供所有绑定对象的名称，而String类型不能用恶意gadget替代，因为它不是普通对象，它不是使用readObject()读取的，而是使用readUTF()读取。但是，由于list()会返回String[]，而它就是一个实际的对象，并会使用readObject()读取，因此Ermir可以直接发送gadget来代替String[]类型：

public void bind(java.lang.String $param_String_1, java.rmi.Remote $param_Remote_2)

bind()方法用于绑定Registry中的一个对象，返回类型为void,ruguo Registry在RMI返回数据包中指定需要返回一个Exception，那么客户端/服务器将会调用readObject()方法，此时Ermir将会发送一个序列化gadget而不是合法的Exception对象：

public void rebind(java.lang.String $param_String_1, java.rmi.Remote $param_Remote_2)

rebind()方法可以使用提供的远程引用替换当前绑定的对象，并返回void，而Ermir将返回一个Exception；

public void unbind(java.lang.String $param_String_1)

unbind()方法可以通过名称解绑RMI Registry中的一个远程对象，并返回void；

工具要求

Ruby v3或更新版本

工具安装

我们可以直接通过rubygems.org来下载和安装Ermir：

$ gem install ermir

或者使用下列命令将该项目源码克隆至本地，并完成工具构建：

$ git clone https://github.com/hakivvi/ermir.git

$ rake install

工具使用

Ermir是一个CLI gem，其中包含两个cli文件，即ermir和gadgetmarshal。ermir是实际的gem，而后者则是GadgetMarshaller.java文件的一个接口，它可以重写Ysoserial的gadget并匹配MarshalInputStream的要求，输出结果需要发送至ermir或一个文件，以防止自定义gadget使用MarshalOutputStream将你的序列化对象写入到输出流中。

ermir使用

➜  ~ ermir

Ermir by @hakivvi * https://github.com/hakivvi/ermir.

Info:

    Ermir is a Rogue/Evil RMI Registry which exploits unsecure Java deserialization on any Java code calling standard RMI methods on it.

Usage: ermir [options]

    -l, --listen   将RMI Registry绑定到一个IP和端口，默认为0.0.0.0:1099

    -f, --file     包含需要反序列化目标gadget的文件路径

    -p, --pipe     从标准输入流中读取序列化gadget

    -v, --version   输出Ermir版本信息

    -h, --help     打印工具帮助选项

Example:

$ gadgetmarshal /path/to/ysoserial.jar Groovy1 calc.exe | ermir --listen 127.0.0.1:1099 --pipe

gadgetmarshal使用

➜  ~ gadgetmarshal

Usage: gadgetmarshal /path/to/ysoserial.jar Gadget1 cmd (optional)/path/to/output/file

工具使用演示

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Ermir：【GitHub传送门】

参考资料

https://github.com/hakivvi/ermir/blob/main/helpers/gadgetmarshaller/GadgetMarshaller.java
https://github.com/frohoff/ysoserial
http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/file/jdk8u232-ga/src/share/classes/sun/rmi/registry/RegistryImpl_Stub.java#l127
https://docs.oracle.com/javase/7/docs/technotes/guides/rmi/enhancements-7.html