JRMP通信攻击过程及利用介绍

文章预览

基本介绍 JRMP(JAVA Remote Method Protocol，即Java远程方法调用协议)是特定于Java技术的、用于查找和引用远程对象的协议，运行在Java远程方法调用(RMI)之下、TCP/IP之上的线路层协议(英语：Wire protocol)，同时JRMP协议规定了在使用RMI的时候传输的数据中如果包含有JAVA原生序列化数据时，无论是在JRMP的客户端还是服务端，在接收到JRMP协议数据时都会把序列化的数据进行反序列化的话，这就有可能导致反序列化漏洞的产生了 实现方式 JRMP接口的两种常见实现方式： JRMP协议(Java Remote Message Protocol)，RMI专用的Java远程消息交换协议 IIOP协议(Internet Inter-ORB Protocol) ，基于CORBA实现的对象请求代理协议 简易示例 (1) 定义远程接口 首先我们需要定义一个远程接口，这个接口描述了可以被远程调用的方法， package org.al1ex; import java.rmi.Remote; import java.rmi.RemoteException; // 定义 ………………………………