RASP | 远程Java应用的RASP调试教程

远程Java应用的RASP调试教程

介绍

Java RASP是基于Java Agent技术实现的，而Java Agent代码无法独立启动，必须依赖于一个Java运行时程序才能运行。如何调试一个Java Agent可以参考之前的一篇推文：如何 debug JRASP Agent代码

在RASP开发的中后期，则需要在真实的Web服务器上测试。通常这些Java应用程序都运行在远端设备上，开发者本地不具备这样的环境。所以我们需要远程调试一个真实的Java应用，来解决bug或者验证RASP的防护效果。下面将以tomcat为例，介绍如何调试一个应用于远端Java应用的RASP程序。

环境条件

运行于Windows上的IDEA CE 2021.2(社区版)
运行于Linux上的apache-tomcat-9.0.0.m1

调试步骤

1. 设置IDEA远程调试

点击编辑运行配置
新建一个远程JVM调试模板
调试器模式设置为附加到远程JVM，传输方式选择Socket。IDEA还有ShareMemory方式的传输方式，这两者的本质都是用于传输远程调试信息。双机调试建议使用Socket模式。
设置目标Java应用所在机器的IP地址，以及一个未被使用的端口。
选择目标Java应用运行时JDK版本，将会自动生成一些启动参数。 不同的JDK版本的启动参数不同 ，所以需要注意这点。
复制自动生成的JVM启动参数，用于后续添加到目标Java应用的启动参数中。
设置需要调试的代码

2. 下断点

在刚刚设置的需要调试的代码中下断点。
断点的位置尽量高，而且最好是在逻辑简单且必经之地。因为RASP代码逻辑是由目标Java应用触发，而不是我们手动触发的。另外建议多下几个断点，以保障IDEA可以正确捕获断点。

3. 在目标应用中添加调试的启动参数

将IDEA自动生成的远程JVM启动参数调加到目标应用的启动参数中.

以tomcat为例：

tomcat启动脚本目录： ${tomcat安装目录}/bin

${tomcat安装目录}/bin/catalina.sh
${tomcat安装目录}/bin/catalina.bat
/usr/web/apache-tomcat-9.0.0.M1/bin/catalina.sh

修改tomcat启动脚本，添加启动参数。将刚刚复制的JVM启动参数以如下的方式添加至catalina.sh的最前面:

Linux:

export JAVA_OPTS='-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005'

windows

set JAVA_OPTS=-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005

保存修改后的脚本

4. 启动目标Java应用

重启修改脚本后的Java应用
以tomcat为例：

5. 启动IDEA远程调试

选择刚刚新建的远程JVM调试配置并启动
如果显示连接成功，则表示双机调试通道已经建立。
如果显示连接失败或者连接超时，则需要排查原因：
1. 检查双机是否可以ping通。
2. 检查远端机器上的目标Java应用是否正确地监听在调试端口号上。可以使用如下命令：
  - lsof -i:端口号
  - e.g
3. 通常远端服务器都设置了防火墙或者安全组，此时需要放开该调试端口号。

6. 对目标应用启动RASP注入

查看所有Java应用程序pid:
```
jps
```
进入到jrasp安装目录
```
cd /usr/local/jrasp/bin
```
手动注入jrasp
```
./jrasp.sh -p pid
```

7. 触发断点

断点触发与否主要是基于所要测试的代码和断点位置。一般来说，如果断点设置在AgentMain入口处，则jrasp注入的时候，IDEA即可捕获断点。
如果需要调试的代码和AgentMain函数不在一个模块中，则需要针对性的触发。双机调试建立之后，可能IDEA并未捕获断点，这是因为目前调试的RASP模块还未被执行。
此时需要针对性的触发断点。举两个例子：
1. 如果测试的是RASP监控tomcat request请求模块的代码，那么直接浏览器访问tomcat服务器即可触发断点。
2. 如果测试的是RASP对于RCE检测与阻断能力模块的代码，那么需要使用rce相关的exp攻击tomcat服务器；或者在tomcat服务器内部内置jsp脚本模拟RCE，然后通过浏览器网络请求调用该jsp脚本。

总结

RASP是依赖目标Java进程的，所以RASP的远程调试也是基于Java应用的远程调试。比如说调试Tomcat上的RASP，要先在Tomcat的JVM启动参数中添加远程调试的设置，RASP注入后，RASP的代码将作为Tomcat的一部分被JVM运行，可远程调试Tomcat即可远程调试RASP。补充一点，调试时无需Tomcat源码，在RASP的代码中设置断点，IDEA将自动捕获。但是，RASP大多时候需要hook Tomcat的API，如果无法精准地知道API及其函数描述，可以利用maven中添加对应的tomcat版本的依赖包，上述的远程调试技巧也可以定位到相关的tomcat源码中，这样子在调试堆栈中，既可以看RASP的代码，也可以看JDK源码和tomcat源码，调试过程更加清晰。