Deserialization和覆盖trustURLCodebase进行JNDI注入

最新推荐文章于 2024-11-08 17:24:59 发布
最新推荐文章于 2024-11-08 17:24:59 发布
阅读量124 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 编程学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/syntax_loop446/article/details/133180304
本文介绍了JNDI注入攻击原理,详细阐述了如何利用Java反序列化和覆盖trustURLCodebase进行攻击,并提供了示例代码。同时,提出了防范措施,如避免反序列化不受信任数据、验证输入、配置安全策略、及时更新修复库等。

JNDI(Java Naming and Directory Interface)注入是一种常见的安全漏洞,攻击者可以利用该漏洞执行恶意代码并获取敏感信息。在本文中,我们将探讨如何使用Java的反序列化(Deserialization)和覆盖trustURLCodebase来进行JNDI注入攻击。我将提供相应的源代码以加深理解。

  1. JNDI注入简介
    JNDI是Java平台提供的一种API,用于在分布式环境中查找和访问命名和目录服务。它允许开发人员将对象绑定到命名空间中并通过名称查找和检索它们。然而,当应用程序未正确配置或实施JNDI时,攻击者可以利用该漏洞实现远程代码执行。

  2. 反序列化漏洞
    Java中的反序列化是将对象从字节流转换回对象的过程。然而,如果不正确地反序列化未知或不受信任的数据,可能导致安全漏洞。攻击者可以构造恶意序列化数据,当目标应用程序对其进行反序列化时,触发恶意代码的执行。

下面是一个简单的示例,演示如何利用反序列化漏洞进行JNDI注入攻击:

import java.io.*
了解本专栏 订阅专栏 解锁全文
java安全入门(四)——JNDI入门指北
weixin_45808483的博客
02-14 4742
前言 log4j2 宛如过年一般,趁此机会对没理清的 JNDI 协议仔细再捋一捋 log4j的payload很好记:${jndi:ldap/rmi://xxxxxx/exp} 那么,我们就需要研究一下是怎么来的。 首先来看rpc RPC RPC即 Remote Procedure Call(远程过程调用),==是一种技术思想而并非一种规范的协议==,是一种通过网络从远程计算机请求服务的过程。 常见 RPC 技术框架有: 应用级的服务框架:阿里的 Dubbo/Dubbox、Google
Log4j 注入漏洞:深入理解JNDI注入与Java反序列化漏洞的利用
Java Punk
12-23 3664
我翻阅了许多专题文章,其中有2篇文章写的非常不错,完美解答了我对 “Log4j 注入漏洞” 的疑问
trustURLCodebase属性
2401_85480529的博客
11-08 343
是一个 Java 系统属性,用于控制 Java 中的 RMI(远程方法调用)服务在处理远程对象时是否信任来自指定 URL 的类代码库。
JNDI注入 Reference + RMI 打开了rmi.object.trustURLCodebase还是失败
b1ackc4t的博客
03-11 1127
前情提要 服务端(攻击者) package org.example.rmi; import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.NamingException; import javax.naming.Reference; import java.rmi.AlreadyBoundException; import java.rmi.RemoteException; import java.rmi.registry
通过Tomcat BeanFactory 绕过高版本JDK CodeBase限制实现JNDI注入
Armandhe的博客
05-22 652
通过Tomcat BeanFactory 绕过高版本JDK CodeBase限制实现JNDI注入
[CVE-2021-45105] Apache Log4j2 漏洞复现与原理详细分析
Specif1c的博客
08-10 2590
2021年12月9日,各大公司都被一个核弹级漏洞惊醒了,该漏洞一旦被攻击者利用就会造成及其严重的影响。该漏洞甚至被认为可能是“计算机历史上最大的漏洞”。
JNDI注入利用工具】JNDIExploit v1.1
qq_21039641的博客
07-04 3534
一款用于JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,集成了JDNI注入格式,能够更加方便的开启服务端后直接利用,支持反弹Shell命令执行、直接植入内存shell等,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。
jdk21下的jndi注入
2401_83799022的博客
08-28 604
我们最后的在一个端口放上我们的恶意代码的就是JRMP了,直接使用yso里面的工具,我这里为了方便,自己假设有一个可以利用的链子。我们知道打LDAP反序列化无论是远程类加载,还是直接传入序列化的数据或者是打工厂类都是在我们的decodeObject方法。可以看到代码逻辑是读取我们的conn的流,然后传给in,然后根据我们的returnType。我们知道高版本打rmi一般都是打的本地工厂类,我们看看21又对这个做了什么限制。既然在我们两个点上给我们限制了,我们只能找其他可以反序列化的地方了。
jndi注入变形
最新发布
03-29
### JNDI 注入的变种形式与绕过技术 JNDI(Java Naming and Directory Interface)注入是一种针对 Java 应用程序的安全漏洞,攻击者可以通过此漏洞加载远程恶意类文件并执行任意代码。以下是几种常见的 JNDI 注入...
Log4J2远程代码执行漏洞复现(CVE-2021-44228)
box
04-18 8470
Log4J代码执行漏洞复现(CVE-2021-44228) 受影响版本log4j版本:2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 受影响的应用及组件:Apache Solr、Apache Struts2、Apache Flink、Apache Druid、spring-boot-strater-log4j2、ElasticSearch、Apache Flume、Dubbo、Redis、Logstash、Apache Kafka等 复现环境:java ver
Log4j2注入漏洞(CVE-2021-44228)万字深度剖析(二)—漏洞原理
热门推荐
跳小闹成长记
12-14 1万+
本文将大家一起对Log4j2的漏洞进行全面深入的剖析。我们将从如下几个方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞在Java高低版本中的不同攻击原理 3、Log4j2漏洞在Java高低版本中的攻击步骤 4、Log4j2漏洞在2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
[Java安全]JDK8u191之后的JNDI注入绕过(javax.el.ELProcessor依赖)
Y4tacker的博客
10-13 2960
文章目录环境Maven依赖利用分析低版本流程分析JDK8u191之后的JNDI注入绕过参考文章 环境 我们知道在JDK 6u211、7u201、8u191、11.0.1之后,增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了 切换到8u191之后就好了,我这里随便选择了8u201 Maven依赖 <dependency> <groupId&
Fastjson远程命令执行漏洞总结
weixin_42345596的博客
08-05 3770
一.FastJson 简介 fastjson.jar包原始下载地址:https://github.com/alibaba/fastjson fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。除了这个fastjson以外,还有Google开
java安全(四) JNDI
weixin_45694388的博客
03-25 9134
JNDI JNDI(Java Naming and Directory Interface)是Java提供的Java 命名目录接口。通过调用JNDI的API应用程序可以定位资源其他程序对象。JNDI是Java EE的重要部分,需要注意的是它并不只是包含了DataSource(JDBC 数据源),JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA 通俗理解,使用jndi作为数据源而不是直接去连接数据库,将数据库交给jndi去配置管理,jndi通过数据源名称去应用数据
【入坑JAVA安全】老公,JNDI注入是什么呀?
一个安全研究员
04-17 6655
想知道?
fastjson 1.2.24反序列化漏洞复现
ATpiu的博客
03-21 3869
简介 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。 在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 环境 靶机:http://192...
BlackHat2016——JDNI注入/LDAP Entry污染攻击技术研究
Exploit的小站~
05-10 6227
(一)基本概念 1.1 JNDI JNDI(Java Naming and DirectoryInterface),直译为命名与目录接口。JNDI是一组客户端通过名称(Naming)来寻找发现数据对象的API。 JNDI的概念分为命名系统目录系统: (1) 命名系统(Naming Service):将实体使用名称值的方式联系起来,俗称绑定。 l DNS:将机器的网络地址...
Exploitng JNDI Injection In Java
测试
01-11 787
概要https://www.veracode.com/blog/research/exploiting-jndi-injections-java跟着这文章调了一遍, 之前一度以为在jdk 8u191之后, JNDI注入也就只能打打反序列了,看了这文章后发现了一种新的场景。之前JNDI注入都是依靠于getObjectFactoryFromReference时,如果目标classpath里找不到指定的...
Log4j2 远程代码执行漏洞(cve-2021-44228)原理剖析
Hi~ 土拨鼠
12-17 6475
文章目录1、JNDI、RMI、LDAP、JNDI注入?Log4j2 rce原理影响版本修复思路 要了解本次Log4j2 rce的原理,首先我们得知道什么是JNDI,什么是JNDI注入,什么是RMI,什么又是LDAP… 本文中只讲原理,具体复现请转至:Log4j2 远程代码执行漏洞(cve-2021-44228)复现(反弹shell) 1、JNDI、RMI、LDAP、JNDI注入? Java Name and Directory Interface:java命名目录接口 是sun公司提供的一种标准的java
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值