JDK反序列化到JNDI注入绕过技术研究<\/h1>

1. 漏洞发现过程<\/h2>

1.1 初始发现<\/h3>

通过nmap扫描发现Jetty服务<\/li>
使用dirsearch扫描到\/metrics\/路径<\/li>

通过RDP获取Windows账号，找到服务安装包并分析<\/li> <\/ul>

1.2 代理设置与调试<\/h3>

安装时设置代理为Burp地址<\/li>
将依赖jar包导入IDEA进行调试<\/li>

通过HTTP请求发现序列化对象传输<\/li> <\/ul>

1.3 反序列化探测<\/h3>

尝试使用ysoserial\/Urldns.jar payload但无响应<\/li>
分析响应中的Exception stackTrace<\/li>

发现服务端反序列化流程：先读取Integer类型，再根据数值读取后续字节进行反序列化<\/li> <\/ul>

2. 反序列化利用技术<\/h2>

2.1 Gadgets探测<\/h3>

尝试Jackson + Spring-aop gadget<\/li>

分析客户端依赖：

jython：无依赖<\/li>
Commons-Collections 2系列：已修复<\/li>
Groovy 2.4.21：已修复<\/li>
commons-fileupload 1.3.3：已修复<\/li>

Commons-Beanutils：只有2系列<\/li> <\/ul> <\/li> <\/ul>

2.2 Commons-Beanutils2利用<\/h3>

发现使用commons-beanutils2（GitHub 0 star项目）<\/li>
关键gadget存在但包名修改<\/li>

构造payload时遇到安全限制：

java.<\/span>lang<\/span>.<\/span>UnsupportedOperationException<\/span>:<\/span> When Java security is enabled,<\/span> support for<\/span> deserializing TemplatesImpl is disabled.<\/span> This can be overridden by setting the jdk.<\/span>xml<\/span>.<\/span>enableTemplatesImplDeserialization<\/span> system property to true<\/span>.<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
2.3 反序列化到JNDI注入<\/h3>

分析CommonsBeanutils2 gadget链：
java.util.PriorityQueue#readObject
-> java.util.Comparator#compare
-> org.apache.commons.beanutils2.BeanComparator#compare
-> org.apache.commons.beanutils2.PropertyUtils#getProperty
-> Xxx#getYyy() (需Serializable、利用空参数getter方法)
<\/code><\/pre>
<\/li>
传统TemplatesImpl#getOutputProperties被禁用<\/li>
转向oracle.jdbc.rowset.OracleCachedRowSet#getConnection实现JNDI注入<\/li>
<\/ul>
3. JNDI注入绕过技术<\/h2>
3.1 高版本JDK限制<\/h3>

JDK高版本默认限制JNDI注入<\/li>
绕过方向：

利用反序列化<\/li>
利用本地javax.naming.spi.ObjectFactory中的Reference<\/li>
<\/ol>
<\/li>
<\/ul>
3.2 Tomcat BeanFactory限制<\/h3>

Tomcat org.apache.naming.factory.BeanFactory的forceString功能：

Tomcat 7：无此功能<\/li>
Tomcat 9.0.63+\/8.5.79+：移除此功能<\/li>
<\/ul>
<\/li>
目标环境为Tomcat 9.0.64，无法使用forceString<\/li>
<\/ul>
3.3 替代方案<\/h3>

反序列化getter：尝试其他getter方法<\/li>
JNDI注入setter：寻找setAbc(String payload)类恶意方法<\/li>
<\/ol>
3.4 使用GenericNamingResourcesFactory<\/h3>

org.apache.tomcat.jdbc.naming.GenericNamingResourcesFactory特点：

支持调用类中所有以set开头的方法（包括static方法）<\/li>
相比BeanFactory更灵活，不依赖属性查找<\/li>
<\/ul>
<\/li>
<\/ul>
3.5 SystemConfiguration利用<\/h3>

org.apache.commons.configuration2.SystemConfiguration：

setSystemProperties方法可设置系统属性<\/li>
接收fileName参数（可构造为URL）<\/li>
可远程加载key=value格式的属性文件<\/li>
<\/ul>
<\/li>
<\/ul>
3.6 系统属性修改尝试<\/h3>

尝试设置jdk.xml.enableTemplatesImplDeserialization=true

成功修改但依然无法利用<\/li>
<\/ul>
<\/li>
尝试设置JNDI相关属性：

com.sun.jndi.ldap.object.trustURLCodebase=true<\/li>
com.sun.jndi.rmi.object.trustURLCodebase=true<\/li>
失败原因：VersionHelper.TRUST_URL_CODE_BASE在类加载时初始化，后续修改无效<\/li>
<\/ul>
<\/li>
<\/ol>
4. MemoryUserDatabaseFactory利用<\/h2>
4.1 XXE利用<\/h3>

org.apache.catalina.users.MemoryUserDatabaseFactory：

设置pathname后会转换为URL<\/li>
通过database#open()解析XML内容<\/li>
可实现blind SSRF => blind XXE<\/li>
限制：只能读取\/etc\/hostname等有限信息<\/li>
<\/ul>
<\/li>
<\/ul>
4.2 文件写入RCE<\/h3>

原理：

database.save()在System.getProperty("catalina.base")下创建文件<\/li>
文件命名规则：pathname + ".new"<\/li>
Windows下可路径穿越，Linux需手动创建目录<\/li>
<\/ul>
<\/li>
<\/ul>
4.3 目录创建挑战<\/h3>

需要先在System.getProperty("catalina.base")下创建目录<\/li>
可用方法：

Files.createDirectory\/createDirectories<\/li>
File.mkdir\/mkdirs<\/li>
<\/ul>
<\/li>
最终找到项目特定代码通过getOutputStream创建目录<\/li>
<\/ul>
4.4 完整利用链<\/h3>

创建目录：
Serializable payload8 =<\/span> XyzFileMkdir1.<\/span>getObject<\/span>(<\/span>"\/opt\/tomcat\/aaa\/bbb\/http:\/192.168.176.1:8888\/whatever"<\/span>);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
实现文件写入RCE<\/li>
<\/ol>
5. 关键知识点总结<\/h2>


反序列化探测<\/strong>：<\/p>

注意服务端可能自定义反序列化流程（如先读长度）<\/li>
客户端依赖分析可推测服务端环境<\/li>
<\/ul>
<\/li>

安全限制绕过<\/strong>：<\/p>

JDK安全限制可通过系统属性修改尝试绕过<\/li>
注意类加载时机对属性设置的影响<\/li>
<\/ul>
<\/li>

JNDI注入替代方案<\/strong>：<\/p>

当forceString不可用时，考虑GenericNamingResourcesFactory<\/li>
SystemConfiguration可用于系统属性修改<\/li>
<\/ul>
<\/li>

文件操作利用<\/strong>：<\/p>

MemoryUserDatabaseFactory可实现文件写入<\/li>
目录创建是Linux下利用的关键步骤<\/li>
<\/ul>
<\/li>

环境适应性<\/strong>：<\/p>

Windows和Linux在文件路径处理上有差异<\/li>
需要根据目标环境选择合适的技术路径<\/li>
<\/ul>
<\/li>
<\/ol>
6. 防御建议<\/h2>

及时升级JDK和中间件版本<\/li>
限制反序列化操作，使用白名单机制<\/li>
配置严格的安全管理器策略<\/li>
禁用不必要的JNDI查找功能<\/li>
监控系统属性修改操作<\/li>
限制文件系统操作权限<\/li>
<\/ol>

JDK反序列化到JNDI注入绕过技术研究<\/h1>

1. 漏洞发现过程<\/h2>

2. 反序列化利用技术<\/h2>

3. JNDI注入绕过技术<\/h2>

4. MemoryUserDatabaseFactory利用<\/h2>

6. 防御建议<\/h2> 及时升级JDK和中间件版本<\/li> 限制反序列化操作，使用白名单机制<\/li> 配置严格的安全管理器策略<\/li> 禁用不必要的JNDI查找功能<\/li> 监控系统属性修改操作<\/li> 限制文件系统操作权限<\/li> <\/ol>

6. 防御建议<\/h2>

及时升级JDK和中间件版本<\/li>
限制反序列化操作，使用白名单机制<\/li>
配置严格的安全管理器策略<\/li>
禁用不必要的JNDI查找功能<\/li>
监控系统属性修改操作<\/li>
限制文件系统操作权限<\/li> <\/ol>