JAVA攻防-反序列化利用&JNDI注入&高版本绕过&依赖Jar包&gadge包链&自动Bypass

知识点:

Java攻防-JNDI注入-高版本的绕过Bypass

靶场地址:
https://github.com/bewhale/JavaSec


演示案例-Java攻防-JNDI注入-高版本的绕过Bypass

高版本JNDI绕过技术

参考:https://tttang.com/archive/1405/

RMI限制:
com.sun.jndi.rmi.object.trustURLCodebase
com.sun.jndi.cosnaming.object.trustURLCodebase的默认值变为false,即不允许从远程的Codebase加载Reference工厂类,不过没限制本地加载类文件。

LDAP限制:
com.sun.jndi.ldap.object.trustURLCodebase属性的默认值被调整为false,导致LDAP远程代码攻击方式开始失效。这里可以利用javaSerializedData属性,当javaSerializedData属性value值不为空时,本地存在反序列化利用链时触发。

触发模式:
JNDI利用分类:

1、远程Reference

2、本地Reference

3、本地反序列化链

链条利用分类:

1、针对JDK版本的远程jndi注入

2、针对本地中间件包的本地jndi注入

3、针对本地依赖jar包链的本地jndi注入

实验1:8u291高版本的RMI/LDAP注入(FastJson)



实验2:8u291高版本的Bypass注入(FastJson)

JNDIBypass(自动化绕过)

项目地址:https://github.com/B4aron1/JNDIBypass


JNDI-Injection-Exploit-Plus(手工筛选)

项目地址:https://github.com/cckuailong/JNDI-Injection-Exploit-Plus







java-chains

项目地址:https://github.com/vulhub/java-chains

官方参考文档:https://java-chains.vulhub.org/zh/docs/module/generate


JYso

项目地址:https://github.com/qi4L/JYso

官方wikihttps://github.com/qi4L/JYso/wiki/1-、JNDI-Routing



相关推荐
认真的酒窝11 小时前
自己动手开发编译器(十一)语义分析
java·开发语言
wbs_scy12 小时前
Linux C++ 高并发编程:线程池全链路深度解析,从原理到手撕实现
java·开发语言
JAVA面经实录91712 小时前
Linux 常用命令完整知识体系
java·linux·开发语言·汇编
Full Stack Developme14 小时前
Java LRU 与 LFU 算法及应用
java·开发语言·算法
程序员老油条16 小时前
WSL2 + Docker Desktop:Windows 下的完美 Java 开发环境
java·windows·docker·wsl2
shushangyun_17 小时前
2026智能采购商城系统选型指南:如何引领企业数字化采购升级
java·大数据·数据库·人工智能·机器学习
她说..17 小时前
Java 默认值设置方式
java·开发语言·后端·springboot
学渣超17 小时前
记一次分布式事务数据不一致的排查之旅:从超时到索引,层层剥茧
java·后端·架构
掉鱼的猫17 小时前
Agent Harness 实战指南:构建生产级 AI Agent 的"马具"框架
java·llm·aigc
带刺的坐椅18 小时前
Agent Harness 实战指南:构建生产级 AI Agent 的"马具"框架
java·ai·llm·agent·solon-ai