Javaite jndi注入漏洞分析

已于 2023-07-31 19:22:54 修改
阅读量174 收藏
点赞数
分类专栏: JNDI注入漏洞分析 文章标签: 安全 web安全
于 2023-07-31 19:13:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/afeng12345678/article/details/132028554
版权

Javaite jndi注入漏洞分析

今年三月份挖的,已获得CNVD编号,近期准备跳槽决定拿出来水一下。

项目介绍

JavaLite 是一个完整的框架集合,用于快速应用程序开发的 Java 生态系统。

项目地址

https://github.com/javalite/javalite
https://javalite.io/

漏洞概述

javalite存在JNDI注入漏洞,该漏洞源于javalite的DB类提供了一些方便的方法用于打开/关闭数据库连接、运行各种类型的查询和执行 SQL 语句。DB类中存在open(String jndiName)函数,其功能是根据已注册的名称从 JNDI 打开连接,由于用户传入的 jndiName 未经校验直接被 ctx.lookup 执行,用户可直接传入ldap恶意链接执行命令。

影响版本

Javalite <= javalite-3.4-j11

漏洞分析

源码地址:https://github.com/javalite/javalite

Javalite框架中org.javalite.activejdbc.DB类,功能如下:
在这里插入图片描述

org.javalite.activejdbc.DB存在open(String jndiName)函数,其功能是根据已注册的名称从 JNDI 打开连接。
在这里插入图片描述

函数源代码如下,该函数jndiName可控且并未对用户传入内容进行过滤,用户可以自定义方法调用open函数并传入任意数据。在调用open函数时,程序将调用ctx.lookup(jndiName)打开连接。
在这里插入图片描述

用户传入的 jndiName 未经校验直接被 ctx.lookup 执行。如果用户控制jndi的值并将恶意数据传递到 oepn() 方法,那么这会导致JNDI注入。
在这里插入图片描述

漏洞分析复现

该项目作为一个Java框架,本身无web界面,因此需要在官方提供的Test类进行漏洞复现:
activejdbc\src\test\java\org\javalite\activejdbc\BaseTest2.java#shouldReuseExistingConnection
在这里插入图片描述

该漏洞需要使用 JNDI工具辅助复现,可使用 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 工具(注意:需要Java版本小于 JDK 8u191)。
GitHub - welk1n/JNDI-Injection-Exploit: JNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)
终端开启监听:
在这里插入图片描述

Debug调试代码流程如下:

第72行传入了恶意JndiName的值,第73行调用了activejdbc\src\main\java\org\javalite\activejdbc\DB.java#oepn
在这里插入图片描述

跟进db.open,用户传入的 jndiName 直接被 ctx.lookup 执行
在这里插入图片描述

看一下 lookup 的调用方法,传进 InitialContext#getURLOrDefaultInitCtx
在这里插入图片描述

lookup 拿到 name ,getURLScheme匹配 :和 /;之后获取链接内容,getURLContext 解释包含样例:

For example, if the scheme id is “ldap”, and the Context. URL_PKG_PREFIXES property contains “com.widget:com.wiz. jndi”, the naming manager would attempt to load the following classes until one is successfully instantiated:
· com.widget.ldap.ldapURLContextFactory
· com.wiz.jndi.ldap.ldapURLContextFactory
· com.sun.jndi.url.ldap.ldapURLContextFactory

而我们可以控制 lookup 函数的参数,使客户端访问提前设置好的恶意的 ldap服务链接来加载恶意的对象class 字节码文件来实例化,从而执行代码,完成利用。
该类并不存在任何黑/白名单对用户传入进行过滤,用户可直接传入ldap恶意链接执行命令。确定该处存在 jndi注入,可被利用导致命令执行

单步调试,回到activejdbc\src\main\java\org\javalite\activejdbc\DB.java#oepn,在第145行触发命令执行。
在这里插入图片描述

修复方式

厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: https://javalite.io/

hkyj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
用友NC Cloud及YonBIP PMCloudDriveProjectStateServlet JNDI注入漏洞复现
0xSec
01-30 895
用友NC Cloud及YonBIP 系统PMCloudDriveProjectStateServlet.class接口处存在JNDI注入漏洞,未经身份验证的攻击者可通过此漏洞可以在服务端执行任意命令,获取服务器权限。
Apache Kafka Connect JNDI注入漏洞复现(CVE-2023-25194)
0xSec
03-18 6344
在Apache Kafka Connect中存在JNDI注入漏洞,当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule,进而可导致JNDI注入,造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。
虚拟ldap服务器,什么是LDAPLDAP服务器是什么?
weixin_28989357的博客
08-13 764
从上述定义不难看出LDAP是一个目录,那么该目录是如何出现,有什么用呢?在当今的信息世界,网络为人们提供了丰富的资源。随着网络资源的日益丰富,迫切需要一种能有效管理资源信息并利于检索查询的服务技术。目录服务技术随之产生。1.LDAP目录服务可以有效地解决众多网络服务的用户账户问题。2.LDAP目录服务规定了统一的身份信息数据库、身份认证机制和接口,实现了资源和信息的统一管理,保证了数据的一致性和完...
JNDI注入-RMI&LDAP服务(详细完整原理篇,小白也能看得懂)
qq_68064663的博客
09-14 1356
使用jndi注入工具:JNDI-Injection-Exploit可以生成远程调用链接ldap://47.94.236.117:1389/nx5qkh,ldap://47.94.236.117:1389/nx5qkh:执行远程地址的一个class文件,功能:调用47.94.236.117的计算器。JNDIjava系统自带的api,用于访问ldap,rmi...的api,ldap和rmi是JNDI内置接口,他们这些接口可以远程调用执行一些文件,文件中可以命令执行,如调用计算器。Injection和。
JNDI注入-ldap绕过
最新发布
07-30 391
传入var4参数,var4在下图中可以看到是在LDAP中查到的一些属性。下面if语句就是判断,拿到的是什么类型,选择相应的方法去decode。我jdk版本是8u141,可以看到这里也是做了trustURLCodebase的系统限制,不能远程加载类。注意这里又跳到DirectoryManager里面去了,和RMI一样攻击点是不在JNDI的文件中的。我弹计算器代码是写在静态代码块儿中的所以在初始化的时候就弹了计算器。这里面调用到了1中的两个方法,也是没有攻击点的。写在构造函数中的会在下面实例化的时候弹计算器。
安全学习_开发相关_JNDI介绍(注入)&RMI&LDAP服务
学废了的阿串的博客
10-05 1106
JNDI概念、RMI&LDAP服务、JNDI注入-使用工具生成远程调用、jndi-injection、marshalsec、案例、JNDI注入-JDK高版本注入绕过
log4j漏洞 成因 原理 jndi ldap
whatday的专栏
11-22 671
所以目录天生是用来查询的,就好像它的名字一样。PS:有时候Java对象比较大,直接通过LDAP这些存储不方便,就整了个类似于二次跳转的意思,不直接返回对象内容,而是告诉你对象在哪个class里,让你去那里找。假如现在想要通过日志输出一个Java对象,但这个对象不在程序中,而是在其他地方,比如可能在某个文件中,甚至可能在网络上的某个地方,这种时候怎么办呢?lookup,顾名思义就是查找、搜索的意思,那在log4j2中,就是允许在输出日志的时候,通过某种方式去查找要输出的内容。
JNDILDAP(1)
懒散狂徒的专栏
07-31 2281
 6.1  什么是JNDI在一个企业中,命名服务为读者的应用程序在网络上定位对象提供了一种方法。一个命名服务将对象和名称联系在了一起,并且可以通过它们指定的名称找到相应的对象。JNDIJava命名和目录接口,是一个为Java应用程序提供命名服务的应用程序编程接口(API)。它为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口,类似于JDBC都是构建在抽象层上。要使用JND
Log4j2的JNDI注入漏洞原理分析与思考
m0_69745415的博客
05-05 457
因为存在前身Log4j,而且都是Apache下的项目,不管是jar包名称还是package名称,看起来都很相似,导致有些人分不清自己用的是Log4j还是Log4j2。这里给出几个辨别方法: Log4j2分为2个jar包,一个是接口 log4j-api-版本号.jar ,一个是具体实现 log4j−core−{版本号}.jar ,一个是具体实现 log4j-core-版本号.jar ,一个是具体实现 log4j−core−{版本号}.j
WebLogic Server JNDI注入漏洞复现(CVE-2024-20931)
0xSec
02-23 1957
在Oracle发布的2024年1月补丁中,成功修复了一个基于Weblogic T3\IIOP协议的远程命令执行漏洞CVE-2024-20931,该漏洞是由于 CVE-2023-21839 漏洞未修补完全,未经身份验证的攻击者通过 T3、IIOP进行网络访问来破坏 Oracle WebLogic Server。成功利用此漏洞可能会导致 Oracle WebLogic Server 被接管。
金蝶 EAS及EAS Cloud JNDI注入漏洞复现
0xSec
12-22 1301
金蝶 EAS及EAS Cloudappmonitor/protect/jndi/loadTree 路径 jndiName 参数存在JNDI注入漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
JNDI+LDAP攻击手法
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-19 282
过程基本上和rmi一样。
JNDI&RMI&LDAP介绍+log4j分析
enhengzZ的博客
02-16 1596
JNDI JNDIjava Naming and Directory Interfac即java命名与目录接口 Naming是命名服务,Director指目录服务。 通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDIJava EE的重要部分,,JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA。 命名服务 对资源命名方便下次调用,Naming的资源要唯一,每一个资源绑定一个名字 目录服务 顾名思义,和计算机的文件系统很像,具体来说,dns就是一
Day67:WEB攻防-Java安全&JNDI&RMI&LDAP&五大不安全组件&RCE执行&不出网
qq_61553520的博客
03-17 1278
小迪安全-Day67:WEB攻防-Java安全&JNDI&RMI&LDAP&五大不安全组件&RCE执行&不出网
连接ldap_JNDI之初探 LDAP
weixin_42122306的博客
01-13 8852
这是酒仙桥六号部队的第27篇文章。全文共计2890个字,预计阅读时长10分钟。基础知识在进入JNDILDAP学习前,先了解下其中涉及的相关知识。1JAVA模型序列化对象JNDI ReferencesJNDI References是类javax.naming.Reference的Java对象。它由有关所引用对象的类信息和地址的有序列表组成。Reference还包含有助于创建引用所...
JAVA安全之Log4j-Jndi注入原理以及利用方式
qq_53058639的博客
05-29 882
JDNI(Java Naming and Directory Interface)是Java命名和目录接口,它提供了统一的访问命名和目录服务的API。JDNI主要通过JNDI SPI(Service ProviderInterface)规范来实现,该规范定义了对JNDI提供者应实现的接口。在JNDI体系中,JNDI提供者是指实际提供命名和目录服务的软件组件。JNDISPI规范包含了多个接口,其中最为重要的是Context接口。
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9526
0x01 JNDI 概述 JNDIJava Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
JNDI注入demo使用ldap方式
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
12-12 1570
JNDI注入demo JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。 这些命名/目录服务提供者: RMI (JAVA远程方法调用) LDAP (轻量级目录访问协议) CORBA (公共对象请求代理体系结构) DNS (域名服务) 大致说下原理,JNDI可以获取远程类并在当前环境里面执行。 如果我们知道的某个程序某一处执行了JND
【每天学习一点新知识】JNDI注入
RexHa的博客
03-07 2399
JNDIJava的一种API,为我们提供了查找和访问各种命名和目录服务的通用统一的接口。通过JNDI统一接口我们可以来访问各种不同类型的服务,例如远程方法调用(RMI),通用对象请求代理体系结构(CORBA),轻型目录访问协议(LDAP)或域名服务(DNS),相当于一个中间件,用户无需了解底层应用的具体应用要求,可以直接通过JNDI访问。
weblogic jndi注入漏洞利用
12-11
WebLogic 的/console/consolejndi.portal接口可以调用存在 JNDI 注入漏洞的com.bea.console.handles.JndiBindingHandle类,从而造成 RCE。攻击者可以通过构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值