高版本 JDK 限制下 JNDI 注入的利用与绕过

最新推荐文章于 2026-06-18 22:31:57 发布
原创 最新推荐文章于 2026-06-18 22:31:57 发布 · 3.7k 阅读 · 19
标签
#java #开发语言

1. 背景知识

  • JNDI(Java Naming and Directory Interface):Java 提供的一套统一 API,用来访问各种目录和命名服务(RMI、LDAP、DNS、CORBA 等)。

  • 典型应用:JNDI 常用于获取对象引用,比如从 LDAP 获取用户对象,从 RMI 获取远程服务。

  • 安全风险:如果 lookup() 的参数可控,就可能被引导去加载攻击者构造的恶意对象,导致远程代码执行(RCE)。

2. 基本攻击流程

  1. 攻击者在 RMI Registry 上绑定一个恶意对象(Reference)。

  2. 恶意对象的类文件存放在 HTTP/FTP/SMB 等服务上。

  3. 受害者调用 InitialContext.lookup(URI)URI 可控。

  4. 受害者客户端会尝试加载 Stub:

    • 优先本地 CLASSPATH

    • 本地找不到 → 向远程 Codebase 拉取恶意类。

  5. 恶意类在加载时执行代码(构造函数、静态代码块、getObjectInstance())。

前置条件

  • RMI 客户端环境允许远程加载 Codebase。

  • 属性 java.rmi.server.useCodebaseOnly=false(默认 true

最低0.47元/天 解锁文章
rasssel
关注
绕过高版本JDK限制JNDI注入
weixin_45682070的博客
01-21 2189
前言 JNDI_RMI在JDK 6u132, JDK 7u122, JDK 8u113版本中,系统属性 com.sun.jndi.rmi.object.trustURLCodebase;com.sun.jndi.cosnaming.object.trustURLCodcbase 的默认值变为false,即默认不允许从远程的Codebase加载Reference工厂类。 JNDI_LDAP在Oracle JDK 6u211、7u201、8u191、11.0.1、之后 com.sun.jndi.ldap.obj
Java安全』绕过JDK高版本限制进行JNDI注入学习研究
Ho1aAs‘s Blog
02-22 3613
文章目录绕过原理使用本地类作为恶意工厂攻击RMI探究BeanFactory类pom.xmlPoCjavax.el.ELProcessorGroovy.lang.GroovyShell引用参考完 绕过原理 对于JDK版本11.0.1、8u191、7u201、6u211及以上,RMI和LDAP的trustURLCodebase已经被限制,但是还存在几种方法绕过 使用受害者本地的类作为恶意Reference Factory攻击RMI 利用LDAP返回序列化数据触发Gadget 使用本地类作为恶意工厂攻击RMI
ref 能否注入为null_如何绕过高版本JDK限制进行JNDI注入利用
weixin_39783633的博客
12-15 943
//写在前面//Java JNDI注入有很多种不同的利用方式,而这些利用方式的Payload分别有一些限制。在之前《深入理解JNDI注入Java反序列化漏洞利用》中,我们主要讨论的是通过RMI服务返回 JNDI Naming Reference Payload 的攻击手法,除此之外还有 RMI Remote Object Payload、LDAP Naming Reference Pa...
JNDI注入利用原理及绕过高版本JDK限制
mole_exp的博客
11-07 8902
文章目录前言JNDI 101什么是JNDI使用JNDI的好处几个简单的JNDI代码示例1、使用JNDI操作RMI2、使用JNDI操作LDAPJNDI动态协议转换JNDI Naming ReferencesJNDI 注入利用RMI向量LDAP向量其他向量绕过高版本JDK限制方式1、利用本地Class作为JNDI Reference Factory方式2、LDAP Server返回序列化数据,触发本地反序列化Gadget坑Reference 前言 关于JNDI注入的讨论和研究,起源于国外的安全研究员@pwnte
高版本JDK绕过受限JNDI注入进行任意类加载
qq_40466372的博客
07-18 1564
高版本JDKJNDI配合Unsafe实现加载任意类
JNDI注入高版本绕过
yangyangrenren的专栏
12-22 2878
转载于JNDI注入高版本绕过 JDNI利用方式的修复之路 RMI Remote Object Payload(限制多,不常使用) 攻击者实现一个RMI恶意远程对象并绑定到RMI Registry上,编译后的RMI远程对象类可以放在HTTP/FTP/SMB等服务器上,供受害者的RMI客户端远程加载。RMI客户端在 lookup() 的过程中,会先尝试在本地CLASSPATH中去获取对应的Stub类的定义,并从本地加载,然而如果在本地无法找到,RMI客户端则会向远程Codebase去获取攻击者指定的恶意对象,这
基于java Web 训练管理系统设计实现 源码 论文
qq_251836457的博客
06-17 1067
用户信息实体,主要包括 用户编号,用户名,密码,姓名,性别,出生日期,证件号,民族,政治面貌,单位,入伍时间,照片,班级,排 等信息实体。1 用户( 用户编号,用户名,密码,姓名,性别,出生日期,证件号,民族,政治面貌,单位,入伍时间,照片,班级,排 )讨论信息实体,主要包括 讨论编号,疑问,说明,发布人,发布时间,状态,回答 等信息实体。系统主要用户实体,班级实体,排实体,科目实体,成绩实体,教学视频实体,教学理论实体,讨论实体,如图所示。班级信息实体,主要包括 班级编号,班级 等信息实体。
24-Django请求全链路-WSGI到数据库响应的完整旅程
weixin_44081096的博客
06-15 976
你点了浏览器的"刷新"按钮,0.5 秒后页面渲染完毕。这 0.5 秒里发生了什么?本文把 Django 处理一个 HTTP 请求的完整链路拆为六个步骤:WSGI Server 接收 TCP 连接 → 中间件栈的洋葱模型逐层处理 → URL 路由匹配 → View 执行业务逻辑 → ORM 生成 SQL 并发送到数据库 → Template 渲染或 JSON 序列化返回响应。每一步都配有对应的源码位置和关键代码片段,读完你能对一个请求的全生命周期建立起清晰的空间模型。穿插真实调试经历——一个中间件错误导致所有
SAP-ABAP:SAP表视图权限管控方案:表维护权限、视图访问权限配置实操
baidu_35680696的博客
06-15 712
SAP表视图权限管控方案摘要 本文详细介绍了SAP系统中表和视图的三层级权限管控方案: 表维护生成器权限:通过配置权限组实现基础访问控制,支持自定义权限对象(SU21)进行细粒度管控 SM30事务码权限:利用权限对象S_TABU_DIS控制表维护操作,可在PFCG中配置角色实现权限细分 CDS视图DCL权限:通过访问控制定义实现记录级权限过滤,支持基于权限对象的动态数据访问控制 文章提供了完整的配置流程和ABAP代码示例,涵盖权限组创建、DCL语法、权限校验等关键操作,帮助企业构建安全的数据访问体系,满足
自己动手写一个spring之IOC_3
wang0907的博客
06-15 703
本文来继续增加IOC部分的功能,增加基于@Autowired注解注入bean的功能。。
SpringMVC 入门到实战 RESTFul 49-55
道友
06-16 537
SpringMVC 入门到实战 RESTFul 49-55
MyBatis-Plus 完整实际使用整理
最新发布
m0_73837751的博客
06-18 133
数据库操作方式总览│├── 方式一:BaseMapper + Wrapper(大厂主流)│ ├── 基础 CRUD:selectById / insert / updateById / deleteById│ ├── 条件操作:selectList(LambdaQueryWrapper) / delete(wrapper) ...│ ├── 分页:selectPage(IPage, wrapper) + 分页插件。
kaliLinux~ 端口建立连接
Gavin
06-14 959
本文介绍了如何使用Kali Linux中的nc命令Spring Boot服务建立连接并发送HTTP请求,以及尝试连接MySQL数据库的过程。作者首先创建了一个简单的Spring Boot接口,通过nc命令成功发送GET请求并获取响应。随后尝试连接MySQL数据库时遇到防火墙拦截和SSL证书验证问题,通过调整防火墙设置和使用--skip-ssl-verify参数最终成功建立连接。文章记录了整个实验过程中的命令操作和问题解决方法,展现了基本的网络连接测试技术。
Spring AI Alibaba Agent 流式输出 outputKey 完全指南
路过君的博客
06-15 946
摘要 本文深入解析Spring AI Alibaba Agent的两个核心问题:流式输出处理和outputKey机制。针对agent.stream()的流式响应,文章提出三种提取最终回复的方案:1)使用AtomicReference在onComplete时获取完整状态;2)直接监听AGENT_MODEL_FINISHED事件获取最终结果;3)利用outputKey简化数据提取。特别强调在多Agent协作中,outputKey作为数据传递桥梁的关键作用。通过源码分析和实践示例,为开发者提供完整的流式输出处理指
Java 程序员第 43 阶段05:微服务整合大模型,跨服务调用架构设计实战,Seata分布式事务实战
fuleigang的专栏
06-15 1084
第一阶段:分支事务执行SQL,Seata解析SQL获取表结构,生成数据镜像(before image),执行SQL获取数据变化,生成数据镜像(after image),将前后镜像和SQL信息注册到TC。本章深入探讨了Seata分布式事务的实战应用,从四种事务模式的原理机制出发,详细讲解了AT、TCC、SAGA和XA模式的工作原理和适用场景。Seata通过XID(全局事务ID)串联各个分支事务,每个参服务的每次SQL执行都会被Seata代理,自动记录前后镜像数据,实现无侵入式的分布式事务管理。
JUC 总结:从 Java 内存模型到线程池的并发核心梳理
2301_80821045的博客
06-15 532
本文总结了Java并发编程(JUC)的基础知识要点: 进程线程:进程是资源分配的最小单位,线程是调度的最小单位,线程更轻量级且切换成本低; 线程创建方式:继承Thread类、实现Runnable/Callable接口、使用线程池(推荐); RunnableCallable区别:Callable有返回值且可抛异常,需通过FutureTask适配; 线程状态:新建、可运行、阻塞、等待、定时等待和终止6种状态; 线程控制:start()启动新线程,run()同步执行;join()实现顺序执行,CountDow
怎么样才算是用到了反射呢?有什么关键特征吗
weixin_46028606的博客
06-13 777
摘要: 判断代码是否使用反射(Reflection)的关键在于动态操作类、方法或属性。三大核心特征:1)出现反射核心类(Class、Method、Field、Constructor);2)通过字符串动态加载类或调用方法(如Class.forName("类名"));3)突破封装访问私有成员(setAccessible(true))。反射广泛应用于框架(如Spring依赖注入、JSON解析、MyBatis结果映射),通过运行时动态处理实现灵活性,但错误可能延迟到运行期暴露。静态编码相比,反射牺牲编译时安全性换
leecodecode【单调栈】【2026.6.12打卡-java版本】
m0_56136663的博客
06-13 873
面试官为什么这么问?这是网络协议的第一道门槛。我要看你能不能说清楚每次握手的报文和状态变化,以及背后“为什么这样设计”的思考,而不是背步骤。能讲清“防止旧连接请求造成混乱”的学生,才算真理解。希望听到怎样的回答:三次握手客户端发送 SYN=1, seq=x →SYN_SENT服务端回复 SYN=1, ACK=1, seq=y, ack=x+1 →SYN_RCVD客户端发送 ACK=1, seq=x+1, ack=y+1 → 双方进入为什么不是两次?防止已失效的连接请求突然传到服务端。
IDEA集成Maven
路虽远,行则必至!
06-13 614
本文详细介绍了Maven项目的创建配置过程,包括环境设置、项目创建、JDK版本配置和Maven目录结构搭建。重点讲解了Maven坐标的概念及组成(groupId、artifactId、version),并演示了如何导入Maven项目和配置依赖。文章还涵盖了依赖排除的方法、依赖传递特性,以及Maven三大生命周期(clean、default、site)及其主要阶段(compile、test、package等)的操作说明,提供了图形界面和命令行两种执行方式。通过本文可以系统掌握Maven项目的基础操作和核心概
复习篇-常用实用类
2501_92975294的博客
06-13 344
System.out.println("相差:"+p.getYears()+"年"+p.getMonths()+"月"+p.getDays()+"日");System.out.println("片段总数:"+st.countTokens());sb.append("数字:").append(123).append(",布尔:").append(true);System.out.println("姓名:"+name+",年龄:"+age);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值