基本概念RMI的组成代码实现    1. 创建接口    2. 实现接口类    3. 创建服务端    4. 客户端调用远程对象动态类加载和安全策略    1. 动态类加载    2. 安全策略参考链接

基本概念

RMI的全称是Rmote Method Invocation，即远程方法调用。

远程服务器提供具体的类和方法，本地会通过某种方式获得远程类的一个代理，然后通过这个代理调用远程对象的方法，方法的参数是通过序列化与反序列化的方式传递的。

所以，1. 只要服务端的对象提供了一个方法，这个方法接收的是一个Object类型的参数，2. 且远程服务器的classpath中存在可利用pop链，那么我们就可以通过在客户端调用这个方法，并传递一个精心构造的对象的方式来攻击rmi服务。

RMI的组成

RMI模式中除了有Client与Server,还借助了一个Registry(注册中心)。rmi反序列化攻击就是攻击这个注册中心。

Server：提供具体的远程对象。

Registry：一个注册表，存放远程对象的位置（ip、端口等）。

Client：远程对象的调用者。

Registry先启动，并监听一个端口，一般为1099

Server向Registry注册远程对象

Client从Registry获得远程对象的代理（这个代理知道远程对象在网络中的具体位置：ip、端口、标识符），然后Client通过这个代理调用远程方法，Server也是有一个代理的，Server端的代理会收到Client端的调用的方法、参数等，然后代理执行对应方法，并将结果通过网络返回给Client。

图源参考链接：

代码实现

项目结构：

1. 创建接口

创建一个接口Hello，该接口需要继承Remote接口，接口所定义的方法需要抛出RemoteException错误：

package model;

import java.rmi.Remote;
import java.rmi.RemoteException;

public interface Hello extends Remote {
    public String welcome(String name) throws RemoteException;
}

2. 实现接口类

基于上面定义的接口实现一个类Helloimpl，该实现类需要继承UnicastRemoteObject类，同样重载的方法需要抛出RemoteException错误：

package model.impl;

import model.Hello;

import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;

public class Helloimpl extends UnicastRemoteObject implements Hello {
    @Override
    public String welcome(String name) throws RemoteException {
        return "Hello " + name;
    }

    public Helloimpl() throws RemoteException{

    }
}

3. 创建服务端

服务端创建了一个注册表，并注册了客户端需要的对象：

package server;

import model.Hello;
import model.impl.Helloimpl;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class Server {
    public static void main(String[] args) throws RemoteException{
        // 创建对象
        Hello hello = new Helloimpl();
        // 创建注册表
        Registry registry = LocateRegistry.createRegistry(1099);
        // 绑定对象到注册表，并给他取名为hello
        registry.rebind("hello", hello);
    }
}

4. 客户端调用远程对象

package client;
import model.Hello;
import java.rmi.NotBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class Client {
    public static void main(String[] args) throws RemoteException, NotBoundException {
        // 获取到注册表的代理
        Registry registry = LocateRegistry.getRegistry("localhost", 1099);
        // 利用注册表的代理去查询远程注册表中名为hello的对象
        Hello hello = (Hello) registry.lookup("hello");
        // 调用远程方法
        System.out.println(hello.welcome("axin"));
    }
}

调用的远程方法如果需要传入参数，需要保证参数是可序列化的。这里传的参数为字符串，可序列化。如果传参是自定义的对象，那么这个对象需要实现Serilizable接口。

先启动服务端，再启动客户端，可以看到客户端已经成功调用远程方法：

如果服务端和客户端在不同机器上，需要保证远程调用对象所实现的那个接口（这里是Hello接口）在服务端和客户端都存在，因为客户端有一个实例化的过程。

动态类加载和安全策略

1. 动态类加载

如果客户端在调用时，传递了一个可序列化对象，这个对象在服务端不存在，则在服务端会抛出 ClassNotFound 的异常，但是 RMI 支持动态类加载，如果设置了 java.rmi.server.codebase，则会尝试从其中的地址获取 .class 并加载及反序列化。

可使用 System.setProperty("java.rmi.server.codebase", "http://127.0.0.1:9999/"); 进行设置，或使用启动参数 -Djava.rmi.server.codebase="http://127.0.0.1:9999/" 进行指定。

2. 安全策略

上面的通过网络加载外部类并执行方法，所以我们必须要有一个安全管理器来进行管理，如果没有设置安全管理，则 RMI 不会动态加载任何类，通常我们使用：

if (System.getSecurityManager() == null) {
    System.setSecurityManager(new RMISecurityManager());
}

安全管理器应与管理策略相辅相成，所以我们还需要提供一个策略文件，里面配置允许哪些主机进行哪些操作，这里为了方便测试，直接设置全部权限：

rmi.policy：

// Standard extensions get all permissions by default

grant {
permission java.security.AllPermission;
};

同样可以使用 -Djava.security.policy=rmi.policy 或 System.setProperty("java.security.policy", RemoteServer.class.getClassLoader().getResource("rmi.policy").toString()); 来进行设置。

参考链接

https://github.com/Maskhe/javasec/blob/master/6.java%20rmi%E5%9F%BA%E7%A1%80.md

https://su18.org/post/rmi-attack/