JAVA攻防-反序列化利用&JNDI注入&高版本绕过&依赖Jar包&gadge包链&自动Bypass

SuperherRo2025-11-21 18:49

知识点:

Java攻防-JNDI注入-高版本的绕过Bypass

靶场地址:
https://github.com/bewhale/JavaSec


演示案例-Java攻防-JNDI注入-高版本的绕过Bypass

高版本JNDI绕过技术

参考:https://tttang.com/archive/1405/

RMI限制:
com.sun.jndi.rmi.object.trustURLCodebase
com.sun.jndi.cosnaming.object.trustURLCodebase的默认值变为false,即不允许从远程的Codebase加载Reference工厂类,不过没限制本地加载类文件。

LDAP限制:
com.sun.jndi.ldap.object.trustURLCodebase属性的默认值被调整为false,导致LDAP远程代码攻击方式开始失效。这里可以利用javaSerializedData属性,当javaSerializedData属性value值不为空时,本地存在反序列化利用链时触发。

触发模式:
JNDI利用分类:

1、远程Reference

2、本地Reference

3、本地反序列化链

链条利用分类:

1、针对JDK版本的远程jndi注入

2、针对本地中间件包的本地jndi注入

3、针对本地依赖jar包链的本地jndi注入

实验1:8u291高版本的RMI/LDAP注入(FastJson)



实验2:8u291高版本的Bypass注入(FastJson)

JNDIBypass(自动化绕过)

项目地址:https://github.com/B4aron1/JNDIBypass


JNDI-Injection-Exploit-Plus(手工筛选)

项目地址:https://github.com/cckuailong/JNDI-Injection-Exploit-Plus







java-chains

项目地址:https://github.com/vulhub/java-chains

官方参考文档:https://java-chains.vulhub.org/zh/docs/module/generate


JYso

项目地址:https://github.com/qi4L/JYso

官方wikihttps://github.com/qi4L/JYso/wiki/1-、JNDI-Routing



相关推荐
camellias_3 小时前
【无标题】
java·tomcat
咸鱼2.03 小时前
【java入门到放弃】需要背诵
java·开发语言
椰猫子3 小时前
Java:异常(exception)
java·开发语言
win x4 小时前
Redis 使用~如何在Java中连接使用redis
java·数据库·redis
星晨雪海5 小时前
基于 @Resource 的支付 Service 多实现类完整示例
java·开发语言
阿维的博客日记5 小时前
什么是逃逸分析
java·juc
Ricky_Theseus5 小时前
C++右值引用
java·开发语言·c++
Rick19935 小时前
Java内存参数解析
java·开发语言·jvm
我是大猴子6 小时前
Spring代理类为何依赖注入失效?
java·后端·spring
勿忘,瞬间6 小时前
多线程之进阶修炼
java·开发语言
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南04OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南07Oh My Codex 快速使用指南08实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了09开发者环境配置:用 Ollama 实现本地大模型部署(附下载慢的解决方案10UV安装并设置国内源