JNDI:JNDI-LDAP 注入及高版本JDK限制

引用参考【1】

除了RMI服务之外,JNDI还可以对接LDAP服务,LDAP也能返回JNDI Reference对象,利用过程与上面RMI Reference基本一致,只是lookup()中的URL为一个LDAP地址:ldap://xxx/xxx,由攻击者控制的LDAP服务端返回一个恶意的JNDI Reference对象。并且LDAP服务的Reference远程加载Factory类不受上一点中 com.sun.jndi.rmi.object.trustURLCodebase、com.sun.jndi.cosnaming.object.trustURLCodebase等属性的限制,所以适用范围更广。

不过在2018年10月,Java最终也修复了这个利用点,对LDAP Reference远程工厂类的加载增加了限制,在Oracle JDK 11.0.1、8u191、7u201、6u211之后 com.sun.jndi.ldap.object.trustURLCodebase 属性的默认值被调整为false,还对应的分配了一个漏洞编号CVE-2018-3149。

不赘述JNDI相关背景,本节主要复现JNDI-LDAP注入,以及如何绕过高版本jdk上的限制

more >>

JNDI:JNDI-RMI 注入及绕过JDK高版本限制

fastjson 配合jndi注入攻击,现在已经是很常见的姿势了。前文RMI 1中略微提到jndi-rmi 攻击client的思路,这里详细补充下。

其实JNDI-RMI注入的核心是JNDI注入,RMI协议只是jndi支持的其中一种,其他还有很多。这里不做深入JNDI安全背景解释,只是因为和RMI略有关系,所以作为RMI系列只是简要跟进分析下。

more >>

RMI:绕过JEP290——中

本节主要解释前文留下的问题:

只是建立了恶意JRMP的连接,但是没执行bind,为什么可以打成功?

结论

流程比较复杂,先直接给结论,绕过JEP290的原理是

  1. 利用JEP290白名单内的类,覆盖掉registerRefs(此时未建立JRMP连接)
  2. Registry 处理bind请求,最后会触发DGC逻辑,DGC向registerRefs里保存的Server发送dirty请求
  3. DGC底层使用的是StreamRemoteCall.executeCall进行io的传输,executeCall发送完之后,会根据对方的反馈进行不同的操作,当对方返回一定条件时(初步判断是对方RMI Exception),会直接序列化InputStream,造成反序列化漏洞
more >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true