0x01、什么是RMI
RMI(Remote Method Invocation)即Java远程方法调用,RMI用于构建分布式应用程序,RMI实现了Java程序之间跨JVM的远程通信。顾名思义,远程方法调用:客户端比如说是在手机,然后服务端是在电脑;同时都有java环境,然后我要在手机端调用服务端那边的某个方法,这就是,远程方法调用;
使用RMI的时候,客户端对远程方法的调用就跟对同一个Java虚拟机(也就是本地)上的方法调用是一样的。一般调用和RMI调用有一点不同,虽然对客户端来说看起来像是本地的,但是客户端的stub会通过网络发出调用,所以会抛出异常;其中还是会涉及到Socket和串流的问题,一开始是本地调用,然后就代理(stub)会转成远程,中间的信息是如何从Java虚拟机发送到另外一台Java虚拟机要看客户端和服务端的辅助设施对象所用的协议而定;使用RMI的时候,需要选择协议:JRMP或IIOP协议;JRMP是RMI的原生的协议,也就是默认JRMP协议。而IIOP是为了CORBA而产生的~~~
远程方法调用,具体怎么实现呢?远程服务器提供具体的类和方法,本地会通过某种方式获得远程类的一个代理,然后通过这个代理调用远程对象的方法,方法的参数是通过序列化与反序列化的方式传递的,所以,
1. 只要服务端的对象提供了一个方法,这个方法接收的是一个Object类型的参数
2. 且远程服务器的classpath中存在可利用pop链,那么我们就可以通过在客户端调用这个方法,并传递一个精心构造的对象的方式来攻击rmi服务。
某种方式获得远程对象的代理,那么具体是怎么的实现机制呢?RMI模式中除了有Client与Server,还借助了一个Registry(注册中心)。
| Server | Registry | Client |
|---|---|---|
| 提供具体的远程对象 | 一个注册表,存放着远程对象的位置(ip、端口、标识符) | 远程对象的使用者 |
其中Server与Registry可以在同一服务器上实现,也可以布置在不同服务器上,现在一个完整的RMI流程可以大概描述为:
- Registry先启动,并监听一个端口,一般为1099
- Server向Registry注册远程对象
- Client从Registry获得远程对象的代理(这个代理知道远程对象的在网络中的具体位置:ip、端口、标识符),然后Client通过这个代理调用远程方法,Server也是有一个代理的,Server端的代理会收到Client端的调用的方法、参数等,然后代理执行对应方法,并将结果通过网络返回给Client。
两图胜千言:
其实跟上图都类似
0x02、RMI的框架与解析
RMI调用远程方法的大致如下:
RMI客户端在调用远程方法时会先创建Stub(sun.rmi.registry.RegistryImpl_Stub)。Stub会将Remote对象传递给远程引用层(java.rmi.server.RemoteRef)并创建java.rmi.server.RemoteCall(远程调用)对象。RemoteCall序列化RMI服务名称、Remote对象。RMI客户端的远程引用层传输RemoteCall序列化后的请求信息通过Socket连接的方式传输到RMI服务端的远程引用层。RMI服务端的远程引用层(sun.rmi.server.UnicastServerRef)收到请求会请求传递给Skeleton(sun.rmi.registry.RegistryImpl_Skel#dispatch)。Skeleton调用RemoteCall反序列化RMI客户端传过来的序列化。Skeleton处理客户端请求:bind、list、lookup、rebind、unbind,如果是lookup则查找RMI服务名绑定的接口对象,序列化该对象并通过RemoteCall传输到客户端。RMI客户端反序列化服务端结果,获取远程对象的引用。
上面的是来自javasec项目的,觉得挺好,摘抄一下。而下面则是我自己写的;此处而0x03一起看
2、这个对应数据流中的Call消息;
3、然后Registry返回⼀个序列化的数据,这个就是找到的Name=Hello的对象,这个对应数据流中的ReturnData消息;
4、客户端反序列化该对象,发现该对象是⼀个远程对象,地址在 169.254.20.76:39098 ,这边可能会有疑问,这里面没有,怎么会知道端口号啥的
可以看出,其实端口是跟在远程地址的后面,只不过是16进制的,需要切换一下
5、于是再与这个地址建⽴TCP连接;在这个新的连接中,才执⾏真正远程⽅法调⽤,也就是 hello()
0x03、rmi测试代码
Hello.java
import java.rmi.Remote;
import java.rmi.RemoteException;
public interface Hello extends Remote {
public String welcome(String name) throws RemoteException;
}
RMIDemoImpl.java
import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;
public class HelloImpl extends UnicastRemoteObject implements Hello {
public HelloImpl() throws RemoteException{ }
@Override
public String welcome(String name) throws RemoteException {
return "Hello, "+name;
}
}
Server.java
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
public class Server {
public static void main(String[] args) throws RemoteException {
//创建远程对象
HelloImpl hello = new HelloImpl();
//创建注册表
Registry registry = LocateRegistry.createRegistry(1099);
//将远程对象注册到注册表里面,并且设置值为he
registry.rebind("he",hello);
System.out.println("running.......");
}
}
Client.java
import RMITest01.model.Hello;
import java.rmi.NotBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
public class Client {
public static void main(String[] args) throws RemoteException, NotBoundException {
//获取注册表的代理
Registry registry = LocateRegistry.getRegistry("192.168.1.2",1099);
//利用注册表的代理去查询远程注册表中名为hello的对象
Hello he = (Hello) registry.lookup("he");
//调用远程方法
System.out.println(he.welcome("haahah"));
}
}
在上面写了rmi测试代码,我们从测试代码中进行查看剖析
| Server | Registry | Client |
|---|---|---|
| 提供具体的远程对象 | 一个注册表,存放着远程对象的位置(ip、端口、标识符) | 远程对象的使用者 |
- 服务端创建对象,创建注册表,并把对象存储进去,设置别名,结构类似map形式
这边通过rebind去存储到注册表中,而注册中心,其实就是存储远程方法对象的一个表而已
最后这边打印出来又两个对象,分别为名字叫做hello的对象和work的对象。