Java RMI 漏洞扫描工具——remote-method-guesser 项目推荐

remote-method-guesser 是一个开源的 Java RMI 漏洞扫描器，主要使用 Java 语言开发。该项目旨在帮助开发者发现和验证 Java RMI 端点上常见的网络安全漏洞。

项目基础介绍

remote-method-guesser 通过扫描 Java RMI 服务，枚举常见的漏洞，并提供了一系列操作来检测和利用这些漏洞。它是一个 Maven 项目，可以通过简单的命令行操作来构建和使用。该项目自 Black Hat USA 2021 大会以来受到关注，并在安全社区中获得了积极的反馈。

核心功能

该项目的主要功能包括：

• 枚举（Enum）: 列出 RMI 注册表中的所有绑定名称和对象信息。
• 绑定（Bind）/重新绑定（Rebind）/解绑定（Unbind）: 修改 RMI 注册表中的绑定名称。
• 猜测（Guess）: 根据已知的对象名称猜测可能存在的方法。
• 调用（Call）: 直接调用远程对象的方法。
• 代码基攻击（Codebase）: 执行远程类加载攻击。
• 序列化攻击（Serial）: 对 RMI 默认组件执行反序列化攻击。
• JMX 攻击（RogueJMX）: 创建一个恶意的 JMX 监听器以收集凭据。

最近更新的功能

项目的最新更新主要包括以下新功能的实现：

• 对等SSIP支持: 支持在 SSRF 攻击中利用对等SSIP。
• 增强的枚举功能: 改进了枚举过程的细节显示，使得输出更加直观。
• 代码质量优化: 对项目的代码库进行了重构，提高了代码的可读性和稳定性。
• 新服务器示例: 增加了新的示例服务器，以便用户能够更好地练习和测试 RMI 枚举和攻击。

remote-method-guesser 项目的开发团队持续地在功能、性能和易用性方面进行改进，为安全研究人员和开发者提供了一个强大的工具，以识别和防护 Java RMI 漏洞。