java安全(三)RMI

原创 已于 2022-08-06 06:24:15 修改 · 5.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web安全 #安全

于 2022-03-22 11:24:17 首次发布
本文介绍了Java RMI的概念,详细阐述了RMI的工作原理,包括客户端与服务端的交互过程。接着通过实例展示了RMI远程方法调用的测试步骤。接着探讨了RMI的反序列化漏洞,说明了如何构建恶意的Remote对象触发服务端的反序列化攻击。最后提到了JRMP反序列化漏洞及其潜在的安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

给个关注?宝儿!
给个关注?宝儿!
给个关注?宝儿!

在这里插入图片描述

1.RMI 是什么

RMI(Remote Method Invocation)即Java远程方法调用,RMI用于构建分布式应用程序,RMI实现了Java程序之间跨JVM的远程通信。
在这里插入图片描述RMI底层通讯采用了Stub(运行在客户端)和Skeleton(运行在服务端)机制,RMI调用远程方法的大致如下:

1.RMI客户端在调用远程方法时会先创建2.Stub(sun.rmi.registry.RegistryImpl_Stub)。
Stub会将Remote对象传递给远程引用层(java.rmi.server.RemoteRef)并创建java.rmi.server.RemoteCall(远程调用)对象。
3.RemoteCall序列化RMI服务名称、Remote对象。
4.RMI客户端的远程引用层传输RemoteCall序列化后的请求信息通过Socket连接的方式传输到RMI服务端的远程引用层。
5.RMI服务端的远程引用层(sun.rmi.server.UnicastServerRef)收到请求会请求传递给6.Skeleton(sun.rmi.registry.RegistryImpl_Skel#dispatch)。
7.Skeleton调用RemoteCall反序列化RMI客户端传过来的序列化。
Skeleton处理客户端请求:bind、list、lookup、rebind、unbind,如果是lookup则查找RMI服务名绑定的接口对象,序列化该对象并通过RemoteCall传输到客户端。
8.RMI客户端反序列化服务端结果,获取远程对象的引用。
9.RMI客户端调用远程方法,RMI服务端反射调用RMI服务实现类的对应方法并序列化执行结果返回给客户端。
10.RMI客户端反序列化RMI远程方法调用结果。
Back

2.RMI远程方法调用测试

第一步我们需要先启动RMI服务端,并注册服务。

RMI服务端注册服务代码:

package com.anbai.sec.rmi;

import java.rmi.Naming;
import java.rmi.registry.LocateRegistry;

public class RMIServerTest {
   
   

   // RMI服务器IP地址
   public static final String RMI_HOST = "127.0.0.1";

   // RMI服务端口
   public static final int RMI_PORT = 9527;

   // RMI服务名称
   public static final String RMI_NAME = "rmi://" + RMI_HOST + ":" + RMI_PORT + "/test";

   public static void main(String[] args) {
   
   
      try {
   
   
         // 注册RMI端口
         LocateRegistry.createRegistry(RMI_PORT);

         // 绑定Remote对象
         Naming.bind(RMI_NAME, new RMITestImpl());

         System.out.println("RMI服务启动成功,服务地址:" + RMI_NAME);
      } catch (Exception e) {
   
   
         e.printStackTrace();
      }
   }

}

程序运行结果:

copyRMI服务启动成功,服务地址:rmi://127.0.0.1:9527/test

Naming.bind(RMI_NAME, new RMITestImpl())绑定的是服务端的一个类实例,RMI客户端需要有这个实例的接口代码(RMITestInterface.java),RMI客户端调用服务器端的RMI服务时会返回这个服务所绑定的对象引用,RMI客户端可以通过该引用对象调用远程的服务实现类的方法并获取方法执行结果。

RMITestInterface示例代码:

package com.anbai.sec.rmi;

import java.rmi.Remote;
import java.rmi.RemoteException;

/**
 * RMI测试接口
 */
public interface RMITestInterface extends Remote {
   
   

   /**
    * RMI测试方法
    *
    * @return 返回测试字符串
    */
   String test() throws RemoteException;

}

这个区别于普通的接口调用,这个接口在RMI客户端中没有实现代码,接口的实现代码在RMI服务端。

服务端RMITestInterface实现代码示例代码:

package com.anbai.sec.rmi;

import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;

public class RMITestImpl extends UnicastRemoteObject implements RMITestInterface {
   
   

   private static final long serialVersionUID = 1L;

   protected RMITestImpl() throws RemoteException {
   
   
      super();
   }

   /**
    * RMI测试方法
    *
    * @return 返回测试字符串
    */
   @Override
   public String test() throws RemoteException {
   
   
      return "Hello RMI~";
   }

}

RMI客户端示例代码:

package com.anbai.sec.rmi;

import java.rmi.Naming;

import static com.anbai.sec.rmi.RMIServerTest.RMI_NAME;

public class RMIClientTest {
   
   

   public static void main(String[] args) {
   
   
      try {
   
   
         // 查找远程RMI服务
         RMITestInterface rt = (RMITestInterface) Naming.lookup(RMI_NAME);

         // 调用远程接口RMITestInterface类的test方法
         String result = rt.test();

         // 输出RMI方法调用结果
         System.out.println(result);
最低0.47元/天 解锁文章

200万优质内容无限畅学
Java_RMI_ClientServer:RMI客户端-服务器示例
03-27
Java_RMI_ClientServer:RMI客户端-服务器示例
Java安全() RMI
WDWAGAAFGAGDADSA的博客
12-25 2252
RMI基本知识
Java安全RMI基础
最新发布
pwfortune的博客
07-08 1446
RMI 全称 Remote Method Invocation(远程方法调用),即在一个 JVM 中 Java 程序调用在另一个远程 JVM 中运行的 Java 程序,这个远程 JVM 既可以在同一台实体机上,也可以在不同的实体机上,两者之间通过网络进行通信。:远程接口需要定义一个接口,继承自,表明可以被远程对象调用的方法。远程调用可能发生网络异常 , 所以每个方法都必须显式抛出:远程接口的具体实现一般需要继承类, 将对象导出成一个可以通过 TCP 调用的远程对象Server
java安全入门()——RMI
weixin_45808483的博客
02-15 3873
RMI 定义 RMI 是远程⽅法调⽤的简称,能够帮助我们查找并执⾏远程对象的⽅法。通俗地说,远程调⽤就象将⼀个 class 放在A机器上,然后在B机器中调⽤这个 class 的⽅法。 RMI ( Remote Method Invocation ),为远程⽅法调⽤,是允许运⾏在⼀个Java虚拟机的对象 调⽤运⾏在另⼀个Java虚拟机上的对象的⽅法。 这两个虚拟机可以是运⾏在相同计算机上的不同 进程中,也可以是运⾏在⽹络上的不同计算机中。 Java...
RMI-JAVA-:远程方法调用的加密安全
05-16
RMI-JAVA- 远程方法调用的加密安全
RMI.rar_Java RMI_java.rmi_java.rmi.Remot_remote
09-20
Java RMI支持通过JVM的安全管理器设置权限,以限制远程对象的访问和行为。 总之,Java RMI是构建分布式Java应用的重要工具,它简化了网络通信的复杂性,让开发者可以专注于业务逻辑,而不是底层网络实现。虽然现代...
java_rmi.rar_RMI java_java.rmi
09-19
- **安全性**:RMI可以通过SSL/TLS加密通信,并且可以使用Java安全管理器来控制访问权限。 - **动态导出和导入**:服务器可以在运行时动态地导出或导入远程对象,提供更大的灵活性。 学习和理解Java RMI对于开发...
Rmi.rar_Java RMI_RMI java_java RMI 线程_rmi
09-22
8. **安全性(Security)**:RMI支持基于Java Security Manager的安全模型,可以通过设置策略文件控制客户端和服务器之间的权限。 9. **性能优化(Performance Optimization)**:RMI提供了许多优化手段,如持久化...
RMI.zip_Java RMI_RMI java_rmi
09-14
Java Remote Method Invocation(RMI)是Java平台提供的一种分布式计算技术,它允许在不同网络节点上的Java对象之间进行远程调用。RMIJava多层架构中的重要组成部分,尤其适用于构建分布式应用程序,如服务器端...
java_in_rmi.rar_Java RMI_RMI java_rmi _精通rmi
09-24
Java Remote Method Invocation(RMI)是Java平台中用于构建分布式应用程序的一种关键技术。它允许Java对象在不同的Java虚拟机(JVM)之间进行交互,仿佛它们都在同一台机器上运行。这个"java_in_rmi.rar"压缩包包含...
RMI介绍
weixin_68408599的博客
12-20 1279
RMIJava 中的一种技术,全称为远程方法调用(Remote Method Invocation)。它的作用是允许你在不同的 Java 虚拟机(JVM)之间进行通信,就像在同一个 JVM 中调用方法一样,调用远程方法。这些虚拟机可以在不同的主机上、也可以在同一个主机上。RMIJava 的一组拥护开发分布式应用程序的 API。RMI 使用 Java 语言接口定义了远程对象,它集合了 Java 序列化和 Java远程方法协议(Java Remote Method Protocol)
Sun标准rmi属性总结(J2SE1.4.2 compatible)
Mongoose House
08-22 410
Properties that are useful to set on JVMs* that export remote objects java.rmi.activation.port (1.2 and later) This property is used to set the TCP port...
RMI 各参数意义sun.rmi Properties
cknn58096414的博客
12-30 492
sun.rmi PropertiesWARNING: The properties described here are not supported, can change at any time, and only exist...
Java代码审计——fastjson 1.2.68 反序列化漏洞 FileOutputStream写文件
王嘟嘟的博客
03-25 7827
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 看了这个poc之后,就一直纠结,为啥只有openjdk >= 11才可以用,最后在调试+看了大部分文章之后才终于明白 0x01 环境 这里需要准备两个jdk,一个 1.8 一个11 0x02 环境约束 首先先来看一下Fastjson的构造参数选择: 通过createJavaBeanDeserializer进来 走到JavaBeanInfo.build 这里判断如果不
java rmi接口 超时设置_Spring RMI客户端读超时设置 | 学步园
weixin_35521315的博客
02-16 574
标准JavaRMI设置我所知道的有种方式,其中第1、2种不区分框架均适用,但影响整个JVM级别的RMI服务1.启动时设置sun.rmi.transport.tcp.responseTimeout,单位是毫秒java-Dsun.rmi.transport.tcp.responseTimeout=502.在应用程序中设置环境变量sun.rmi.transport.tcp.responseTim...
java: 程序包sun.rmi.runtime不存在
02-22 5527
拉取项目并导入maven没问题后启动项目时报错:java: 程序包sun.rmi.runtime不存在 打开projectstructure,看看你使用的jdk版本是不是与项目的jdk版本一致
Java常见问题集锦(来自Sun中国官方站)
iseeiconquer的专栏
09-20 791
出自:sun中国 2002年11月14日 09:35 Java常见问题集锦 问: 如何设置Java 2(JDK1.2)的环境变量? 答: Java 2安装后,需要设置PATH和JAVA_HOME环境变量.与JDK1.1不同的是:设置好JAVA_HOME环境变量后,JVM将自动搜索系统类库以及用户的当前路径. Java 2环境变量的设置如下例所示: Solaris平台: setenv JAVA_HO
Java显示程序包不存在?有种解决方法!
热门推荐
爱编程的鱼的博客
04-21 1万+
Java编程过程中,经常会遇到“程序包不存在”的错误消息。这通常是由于编译器无法找到所需的类或库而引起的。幸运的是,这个问题有多种解决方法。在本文中,我们将介绍种常见的解决方法,并通过具体的实例来分析如何应对这个错误。
Java远程调用RMI种实现方法
以下是实现Java RMI种方式的知识点详解: ### 方式一:原始方式实现RMI 原始方式的RMI使用了Java自带的RMI API来实现远程调用,该方式主要涉及到以下几个核心概念: 1. **远程接口(Remote Interface)**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1gpig安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值