JDWP

JDWP 是 Java Debug Wire Protocol 的缩写，在JPDA(Java Platform Debugger Architecture)中，它定义了调试器(debugger)和被调试的 Java 虚拟机(target vm)之间的通信协议。

与PHP的 Xdebug 类似，当其调试端口直接开放在公网上时，很容易被攻击者攻击并且获取系统权限。

Useful link:

探测 JDWP 服务

JDWP并无固定的端口，当未指定调试端口时，则会随机指定一个空闲端口。

启动JDWP参数:

java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=8000 -jar spring-boot-demo-helloworld.jar

nmap

nmap -sT 192.168.0.100 -p8000 -sV

测试了一下，并不是特别的精准，需要扫描多次。

Masscan

默认为扫全球，并且限定了端口，请自行修改。

自实现

demo(python2):

import socket

client = socket.socket()

client.connect(("192.168.0.100", 8000))

client.send("JDWP-Handshake")

if client.recv(14)=="JDWP-Handshake":

print "[*] Detected JDWP service"

client.close()

漏洞利用

jdwp-shellifier

优点： 轻量，容易集成到扫描器中

缺点： 使用下断点的方式执行命令，需要猜测调用的方法，并且需要等待直到触发击中断点。

msf

与jdwp-shellifier不同，这个exp的作者想到了更为直接的办法：直接去sleeping的线程，下发单步指令，然后就可以断下来了...具体原理我也没有太弄清楚。

优点： 更为通用，不用猜测调用方法以及等待

缺点： 依赖metasploit框架，直接上传msf木马而不是执行命令，容易被发现。

jdb

java debugger，随JDK安装。

远程attach调试：

jdb -attach 192.168.0.100:8000

利用方式, 这里直接使用msf中exp的姿势：

attach远程地址

threads命令查看所有线程，查找sleeping的线程

thread 线程id命令

通过(print|dump|eval)命令，执行java表达式，从而达成命令执行

优点： 非常直接，简单的利用

缺点： 不容易集成

自实现EXP

通过学习以上几种利用方式，通过抓包分析、学习协议，结合jdwp-shellifier中实现的JDWP-CLIENT，非常容易重现msf的exp，实现轻量方便的利用。

项目地址：

https://github.com/Lz1y/jdwp-shellifier

可以发现原版脚本执行，断点一旦没有猜中，给我们的就是无尽的等待，修改后的脚本则可以实时的得到反馈。

文末

此文章主要还是利用层面占比较重。在原理方面，文中的链接已经说明非常清晰了，没有必要在复述一遍。