开个人网站需要多少钱,明星网站建设,廊坊关键词优化服务,在线图片编辑源码JNDI 注入利用工具介绍本项目为 JNDI 注入利用工具#xff0c;生成 JNDI 连接并启动后端相关服务#xff0c;可用于 Fastjson、Jackson 等相关漏洞的验证。本项目是基于 welk1n 的 JNDI-Injection-Exploit#xff0c;在此项目的基础服务框架上#xff0c;重新编写了攻击利用…JNDI 注入利用工具介绍本项目为 JNDI 注入利用工具生成 JNDI 连接并启动后端相关服务可用于 Fastjson、Jackson 等相关漏洞的验证。本项目是基于 welk1n 的 JNDI-Injection-Exploit在此项目的基础服务框架上重新编写了攻击利用代码支持更多更强大的功能并加入了多种方式进行回显的支持。本项目为学习性项目目前本人 Java 水平依然处于 hello world 的水平建议各位师傅报着批判的眼光观看不吝指导。QAQ功能本工具支持了利用 JNDI 注入构造多种恶意 payload其中包括名称功能简介BasicInfo获取服务器基础信息打印出 System.getProperties() 中的信息Command命令执行反射调用 forkandexec 执行命令DataSourceHack获取Spring DataSource 明文获取缓存在上下文中的 DataSourceDirList目录遍历使用 File 对象列目录FileDelete文件删除使用 File 对象删除文件FileRead文件读取使用 FileInputStream 读取文件FileWrite文件写入使用 FileOutputStream 写文件SQL Query执行SQL语句使用 JDBC 发出查询SSRF访问内网应用发送 HTTP 请求并将结果返回对于具体功能的构建比较简单几乎就是正常的功能性编程只不过部分功能使用了反射可能不易于阅读。对这部分功能实现有疑问的同学可以在 Javasec 上找到相关的文章。对于各项参数的配置使用了配置文件的方式由于是在调用时会读取文件并未将值进行缓存所以可以随时修改配置文件中 payload 的值无需重启服务。除去基本功能本工具加入了多种回显方式使 JNDI 注入的结果能够返回这样在研究或测试中可以更方便的看到结果本攻击支持了如下回显方式名称功能简介ExceptionEcho报错回显throw 一个异常message 是我们执行的结果OOBEcho带外回显向 dnslog 平台发送数据包携带执行结果TomcatEchoTomcat 回显通过 Tomcat 获取 response 将结果写入WebLogicEchoWebLogic 回显通过 WebLogic 获取 response 将结果写入有了这些功能我们就可以把 JNDI 注入活活玩成 webshell。使用使用源代码执行下载项目源代码git clone gitgithub.com:JosephTribbianni/JNDI.git执行 org.su18.server.ServerStart 的 main() 方法可以在控制台中看到启动消息。使用 jar 文件执行在 release 下载打包好的文件解压压缩包确保配置文件与 jar 文件位于同一目录下请根据自定义需求修改端口号及其他配置项运行 jar 文件java -jar JNDI-1.0-all.jar查看生成的恶意类可以使用 org.su18.asm.frame.Frame 类的 main() 方法生成 .class 文件进行查看。执行后会在项目根目录生成文件使用任意手段 decompile 后可查看逻辑。使用展示这里利用 fastjson 结合 jndi 来进行部分功能使用展示命令执行 id 基础信息获取 Spring 数据源信息对我电脑上的 /Users/phoebe/PycharmProjects 进行目录遍历文件读取 /etc/passwd等等剩余的就不展示了自测吧。上面使用了 TomcatEcho 进行回显其他回显展示报错回显OOB 回显技术细节服务端服务器端完全基于原项目未进行大改动将服务监听端口加入了配置文件中方便修改。payload 细节由于原项目仅执行了命令执行并且是使用 Runtime.getRuntime.exec() 这种非常表面的接口调用功能较为单一且容易被防护阻断因此这里我增加了多个功能模块并对于多数模块直接使用反射调用 native 方法执行功能这可以在某种情况下完全绕过流量层或应用层的安全防护。对于其他功能则是正常的逻辑代码调用基本不会触发任何规则。回显细节回显主要分为几类报错回显直接抛出异常这种方式能否回显完全取决于服务端对异常的处理情况。OOB回显这里使用了 ceye.io由于这个域名可能会被各大安全防护产品拉入黑名单所以可以寻找小众的 dnslog 平台或自行搭建。response 回显这里支持了 Tomcat 和 Weblogic 的回显获取当前访问的 response 对象并写回结果。字节码拼接在恶意类的字节码生成上原项目使用编译好的 jdk7、jdk8 的 class 文件使用 asm 加载并加入执行命令代码本项目则直接使用 asm 完全生成类字节码。由于要实现模块化这里设计了一个简单的代码结构public class Template {private String result;public Template() throw Exception{// insert payload herethis.echo();}public void echo() throw Exception{// how would you like to echo the result}}由于 JNDI 注入的特性是会执行类的构造方法或 static 语句块因此将恶意 payload 织入构造方法中在执行完 payload 后构造出响应的返回结果放在 this.result 中在构造方法的最后一行执行 this.echo() 方法进行回显的逻辑。未完成由于时间有限ASM 生成的代码十分简陋后期会改为使用 AdviceAdapter 的 onMethodEnter、onMethodExit更优雅的生成代码。由于 JNDI 注入本身需要出网所以一些漏洞利用方式和回显方式显得有些鸡肋后期会继续优化添加新功能。仅使用了 jdk 1.8 进行测试部分利用代码“可能”使用了 1.8 之后的新特性在低版本上可能失效。加入 linux 文件描述符回显本来想加的根据几位师傅给出的思路经过了一下午的调试还是没有做到通用有效的寻找文件描述符 id 的方法后续有时间再弄吧。参考文章交流Java 安全技术交流微信群javasec请前往网站添加管理员微信邀请您入群。Javasec 项目是由 安百科技-凌天实验室 发起是一个免费、开源的 Java Web 安全相关知识归纳总结、培训的项目相关问题可以在交流群内提出讨论或 Github 上提出 issues。
