* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? Ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Utilisez [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) pour construire et **automatiser des workflows** alimentés par les outils communautaires les plus avancés au monde.\
_L'invocation de méthode à distance Java_, ou _Java RMI_, est un mécanisme RPC orienté objet qui permet à un objet situé dans une _machine virtuelle Java_ d'appeler des méthodes sur un objet situé dans une autre _machine virtuelle Java_. Cela permet aux développeurs d'écrire des applications distribuées en utilisant un paradigme orienté objet. Une brève introduction à _Java RMI_ d'un point de vue offensif peut être trouvée dans [cette présentation blackhat](https://youtu.be/t\_aw1mDNhzI?t=202).
Généralement, seuls les composants par défaut de _Java RMI_ (le _RMI Registry_ et le _Activation System_) sont liés aux ports communs. Les _objets distants_ qui implémentent l'application _RMI_ réelle sont généralement liés à des ports aléatoires, comme indiqué dans la sortie ci-dessus.
_nmap_ a parfois des difficultés à identifier les services _RMI_ protégés par _SSL_. Si vous rencontrez un service _ssl_ inconnu sur un port _RMI_ commun, vous devriez approfondir votre enquête.
Pour simplifier, _Java RMI_ permet à un développeur de rendre un _objet Java_ disponible sur le réseau. Cela ouvre un port _TCP_ où les clients peuvent se connecter et appeler des méthodes sur l'objet correspondant. Bien que cela semble simple, _Java RMI_ doit résoudre plusieurs défis :
1. Pour acheminer un appel de méthode via _Java RMI_, les clients doivent connaître l'adresse IP, le port d'écoute, la classe ou l'interface implémentée et l'`ObjID` de l'objet ciblé (l'`ObjID` est un identifiant unique et aléatoire créé lorsque l'objet est rendu disponible sur le réseau. Il est nécessaire car _Java RMI_ permet à plusieurs objets d'écouter sur le même port _TCP_).
2. Les clients distants peuvent allouer des ressources sur le serveur en invoquant des méthodes sur l'objet exposé. La machine virtuelle Java doit suivre les ressources qui sont encore utilisées et celles qui peuvent être collectées par le garbage collector.
Le premier défi est résolu par le _RMI registry_, qui est essentiellement un service de nommage pour _Java RMI_. Le _RMI registry_ lui-même est également un service _RMI_, mais l'interface implémentée et l'`ObjID` sont fixes et connus de tous les clients _RMI_. Cela permet aux clients _RMI_ de consommer le _RMI registry_ en connaissant simplement le port _TCP_ correspondant.
Lorsque les développeurs veulent rendre leurs objets Java disponibles sur le réseau, ils les lient généralement à un _RMI registry_. Le _registry_ stocke toutes les informations nécessaires pour se connecter à l'objet (adresse IP, port d'écoute, classe ou interface implémentée et valeur de l'`ObjID`) et le rend disponible sous un nom lisible par l'homme (le _nom lié_). Les clients qui souhaitent consommer le service _RMI_ demandent au _RMI registry_ le _nom lié_ correspondant et le registry renvoie toutes les informations nécessaires pour se connecter. Ainsi, la situation est essentiellement la même qu'avec un service _DNS_ ordinaire. L'exemple suivant montre un petit exemple :
Le deuxième des défis mentionnés ci-dessus est résolu par le _Distributed Garbage Collector_ (_DGC_). Il s'agit d'un autre _service RMI_ avec une valeur `ObjID` bien connue et il est disponible sur pratiquement chaque point de terminaison _RMI_. Lorsqu'un client _RMI_ commence à utiliser un service _RMI_, il envoie une information au _DGC_ indiquant que l'objet distant correspondant est en cours d'utilisation. Le _DGC_ peut ensuite suivre le nombre de références et est capable de nettoyer les objets inutilisés.
Les composants par défaut de _Java RMI_ sont connus comme des vecteurs d'attaque depuis un certain temps et plusieurs vulnérabilités existent dans les versions obsolètes de _Java_. Du point de vue d'un attaquant, ces composants par défaut sont intéressants car ils implémentent des classes/interfaces connues et il est facile d'interagir avec eux. Cette situation est différente pour les services _RMI_ personnalisés. Pour appeler une méthode sur un objet distant, vous devez connaître à l'avance la signature de la méthode correspondante. Sans connaître une signature de méthode existante, il n'y a aucun moyen de communiquer avec un service _RMI_.
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) est un scanner de vulnérabilités _Java RMI_ capable d'identifier automatiquement les vulnérabilités RMI courantes. Chaque fois que vous identifiez un point de terminaison _RMI_, vous devriez l'essayer :
La sortie de l'action d'énumération est expliquée plus en détail dans les [pages de documentation](https://github.com/qtc-de/remote-method-guesser/blob/master/docs/rmg/actions.md#enum-action) du projet. Selon le résultat, vous devriez essayer de vérifier les vulnérabilités identifiées.
Les valeurs `ObjID` affichées par _remote-method-guesser_ peuvent être utilisées pour déterminer le temps de disponibilité du service. Cela peut permettre d'identifier d'autres vulnérabilités :
Même lorsque aucune vulnérabilité n'a été identifiée lors de l'énumération, les services _RMI_ disponibles peuvent toujours exposer des fonctions dangereuses. De plus, bien que la communication _RMI_ avec les composants par défaut soit protégée par des filtres de désérialisation, ces filtres ne sont généralement pas en place lors de l'utilisation de services _RMI_ personnalisés. Il est donc précieux de connaître les signatures de méthode valides sur les services _RMI_.
Malheureusement, _Java RMI_ ne prend pas en charge l'énumération des méthodes sur les objets distants. Cela étant dit, il est possible de forcer les signatures de méthode avec des outils tels que [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) ou [rmiscout](https://github.com/BishopFox/rmiscout):
En plus de deviner, vous devriez également chercher dans les moteurs de recherche ou sur _GitHub_ l'interface ou même l'implémentation d'un service _RMI_ rencontré. Le _nom lié_ et le nom de la classe ou de l'interface implémentée peuvent être utiles ici.
[remote-method-guesser](https://github.com/qtc-de/remote-method-guesser) marque les classes ou interfaces comme `connues` si elles sont répertoriées dans la base de données interne de l'outil des services _RMI_ connus. Dans ces cas, vous pouvez utiliser l'action `connue` pour obtenir plus d'informations sur le service _RMI_ correspondant :
Utilisez [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) pour construire et automatiser facilement des flux de travail alimentés par les outils communautaires les plus avancés au monde.\
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).