JRMP绕过JNDI限制的Java反序列化攻击技术分析<\/h1>

1. 题目背景分析<\/h2>
题目名称为`justDeserialize<\/code>，主要考察Java反序列化漏洞利用技术，特别关注在JDK 11环境下如何绕过JNDI限制。<\/p>`

1.1 漏洞点分析<\/h3>

存在反序列化漏洞的路由：\/read<\/code><\/li>
存在两层WAF防护：

明文检测：可通过utf8-over编码绕过<\/li>
重写resolveClass<\/code>方法的黑名单检测：需要避免使用黑名单中的类<\/li>
<\/ol>
<\/li>
<\/ul>
1.2 环境信息<\/h3>

JDK版本：11<\/li>
关键依赖：

spring-aop<\/li>
aspectjweaver<\/li>
<\/ul>
<\/li>
<\/ul>
2. Spring-AOP反序列化链分析<\/h2>
2.1 调用链概览<\/h3>
JdkDynamicAopProxy#invoke() (第一次)
-> ReflectiveMethodInvocation#proceed()
-> AspectJAroundAdvice#invoke()
-> AbstractAspectJAdvice#invokeAdviceMethod()
-> 反射调用目标方法
<\/code><\/pre>
2.2 关键方法分析<\/h3>


AbstractAspectJAdvice#invokeAdviceMethod()<\/strong><\/p>

调用invokeAdviceMethodWithGivenArgs<\/code>方法<\/li>
包含反射调用逻辑<\/li>
<\/ul>
<\/li>

AspectJAroundAdvice#invoke<\/strong><\/p>

继承自AbstractAspectJAdvice<\/code><\/li>
调用父类的invokeAdviceMethod()<\/code>方法<\/li>
<\/ul>
<\/li>

ReflectiveMethodInvocation#proceed()<\/strong><\/p>

关键变量：interceptorOrInterceptionAdvice<\/code>需要为AspectJAroundAdvice<\/code>类<\/li>
interceptorsAndDynamicMethodMatchers<\/code>变量在构造函数中赋值<\/li>
<\/ul>
<\/li>

JdkDynamicAopProxy#invoke()<\/strong><\/p>

else分支调用ReflectiveMethodInvocation#proceed()<\/code><\/li>
需要chain<\/code>变量不为空<\/li>
<\/ul>
<\/li>
<\/ol>
2.3 代理层设计<\/h3>

需要让advice<\/code>变量同时满足：

Advice<\/code>类型<\/li>
实现MethodInterceptor<\/code>接口<\/li>
<\/ol>
<\/li>
解决方案：使用JdkDynamicAopProxy<\/code>类对AspectJAroundAdvice<\/code>进行代理<\/li>
<\/ul>
2.4 最终利用<\/h3>

第一次触发代理类的compare<\/code>方法<\/li>
最终调用无参方法：JdbcRowSetImpl#getDatabaseMetaData<\/code>实现JNDI注入<\/li>
<\/ul>
3. JRMP绕过JNDI限制<\/h2>
3.1 背景<\/h3>

JDK 11环境下trustSerialData<\/code>通常为true，但题目中设置为false<\/li>
类似JDK 21下的JNDI注入绕过技术<\/li>
<\/ul>
3.2 关键技术点<\/h3>


StreamRemoteCall#executeCall()<\/strong><\/p>

包含反序列化调用<\/li>
本质是JRMP协议处理<\/li>
在lookup<\/code>过程中被调用<\/li>
<\/ul>
<\/li>

利用方法<\/strong><\/p>

使用ysoserial的JRMPListener<\/code>模块<\/li>
自定义JRMPListener<\/code>，利用spring-aop链进行二次反序列化<\/li>
<\/ul>
<\/li>
<\/ol>
3.3 攻击步骤<\/h3>

开启JRMP监听服务<\/li>
构造特定的序列化payload<\/li>
触发反序列化漏洞<\/li>
通过JRMP协议二次加载恶意类<\/li>
<\/ol>
4. 完整攻击流程<\/h2>


绕过第一层WAF<\/strong><\/p>

使用utf8-over编码绕过明文检测<\/li>
<\/ul>
<\/li>

绕过第二层WAF<\/strong><\/p>

避免使用黑名单中的类<\/li>
选择spring-aop<\/code>和aspectjweaver<\/code>依赖中的可用类<\/li>
<\/ul>
<\/li>

构造Spring-AOP链<\/strong><\/p>

创建代理链：JdkDynamicAopProxy<\/code> -> AspectJAroundAdvice<\/code><\/li>
设置反射调用目标为JdbcRowSetImpl#getDatabaseMetaData<\/code><\/li>
<\/ul>
<\/li>

JRMP绕过<\/strong><\/p>

启动JRMP监听服务<\/li>
通过第一次反序列化触发JRMP连接<\/li>
通过JRMP协议传输真正的攻击payload<\/li>
<\/ul>
<\/li>

命令执行<\/strong><\/p>

最终通过反射调用实现任意命令执行<\/li>
<\/ul>
<\/li>
<\/ol>
5. 防御建议<\/h2>


修复方案<\/strong><\/p>

升级JDK到最新版本<\/li>
禁用不必要的反序列化功能<\/li>
实现严格的白名单机制<\/li>
<\/ul>
<\/li>

缓解措施<\/strong><\/p>

设置jdk.jndi.object.factoriesFilter<\/code>过滤非信任的JNDI对象<\/li>
配置jdk.jndi.rmi.object.trustURLCodebase<\/code>为false<\/li>
设置jdk.jndi.ldap.object.trustURLCodebase<\/code>为false<\/li>
<\/ul>
<\/li>

监控措施<\/strong><\/p>

监控异常的JRMP网络连接<\/li>
记录可疑的反序列化操作<\/li>
<\/ul>
<\/li>
<\/ol>
6. 参考资源<\/h2>

GSBP0的博客分析<\/a><\/li>
Vidar-Team技术文档<\/a><\/li>
Potatowo的赛事分析<\/a><\/li>
<\/ol>

JRMP绕过JNDI限制的Java反序列化攻击技术分析<\/h1>

1. 题目背景分析<\/h2> 题目名称为justDeserialize<\/code>，主要考察Java反序列化漏洞利用技术，特别关注在JDK 11环境下如何绕过JNDI限制。<\/p>

2. Spring-AOP反序列化链分析<\/h2>

3. JRMP绕过JNDI限制<\/h2>

6. 参考资源<\/h2> GSBP0的博客分析<\/a><\/li> Vidar-Team技术文档<\/a><\/li> Potatowo的赛事分析<\/a><\/li> <\/ol>

1. 题目背景分析<\/h2>
题目名称为`justDeserialize<\/code>，主要考察Java反序列化漏洞利用技术，特别关注在JDK 11环境下如何绕过JNDI限制。<\/p>`

6. 参考资源<\/h2>

GSBP0的博客分析<\/a><\/li>
Vidar-Team技术文档<\/a><\/li>
Potatowo的赛事分析<\/a><\/li> <\/ol>