Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Dangerous usage of JNDI

okuken
December 21, 2021
Technology
0
340

Dangerous usage of JNDI

okuken

December 21, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
240
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
300
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
620
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
500
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
370
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
360
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.7k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.1k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
okuken
1
440

Other Decks in Technology

See All in Technology
マルチアカウント環境への発見的統制の導入
ch1aki
1
1.3k
本当のAWS基礎
toru_kubota
0
380
JSON攻略法.pdf
miyakemito
8
4.5k
〜小さく始めて大きく育てる〜データ分析基盤の開発から活用まで
kniino
0
2.1k
MySQL の SQL クエリチューニングの要所を掴む勉強会
andpad
2
5.5k
ChatworkのSRE部って実は 半分くらいPlatform Engineering部かもしれない
saramune
0
150
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
3
470
コンテナセキュリティの基本と脅威への対策
kyohmizu
3
740
検証を通して見えてきたTiDBの性能特性
lycorptech_jp
PRO
6
3.7k
私が trocco を推す理由
__allllllllez__
1
190
4年前、あるじゃん老害エンジニアLT合戦に登壇、米国西海岸コンピュータ歴史博物館体験記の続編
toshi_atsumi
0
220
テストプロセスで大事にしていること #jasstnano
makky_tyuyan
0
160

Featured

See All Featured
YesSQL, Process and Tooling at Scale
rocio
163
13k
Art, The Web, and Tiny UX
lynnandtonic
288
19k
Code Reviewing Like a Champion
maltzj
513
39k
Unsuck your backbone
ammeep
662
57k
The MySQL Ecosystem @ GitHub 2015
samlambert
242
12k
The Illustrated Children's Guide to Kubernetes
chrisshort
30
46k
The Cult of Friendly URLs
andyhume
74
5.7k
Making the Leap to Tech Lead
cromwellryan
123
8.5k
Visualization
eitanlees
135
14k
Ruby is Unlike a Banana
tanoku
96
10k
Gamification - CAS2011
davidbonilla
76
4.6k
The Mythical Team-Month
searls
215
42k

Transcript

  1. Dangerous usage of JNDI @okuken3 2021.12.21 第14回 初心者のためのセキュリティ勉強会

  2. == CAUTION (Disclaimer) == ▪本資料の内容は、ローカル環境で個人的に行った検証の結果です JNDIの危険な使い方、具体的には、信頼できない値をJNDI Lookupに渡す実装が行われた場合に、どのような内部処理を経て RCEが成立するのかを把握し、チェックや対策に役立てることを目的として、自身のローカル環境で個人的に検証を行いまし た。本内容を共有する目的も同様であり、悪用を助長するような意図は一切ないことをあらかじめご認識おきください。な お、悪用の意図がない場合であっても、自身の管理下にないシステムに対して管理者の許可なく検証行為を行うことは法令違

    反に当たる可能性もあり、行わないようにご注意ください。 ▪網羅的な内容ではありません 本資料で記載した攻撃手法を全て防いだ場合でも、記載以外の既知の手法はもちろん、少し捻られたり、新たな手法が発見さ れる可能性も大いにあるため、万全な対策とは言えません。信頼できない値をJNDI Lookupに渡さない、これが対策の原則に なるかと思います。また、昨今話題の、ライブラリ経由で意図せずJNDIの危険な使い方を行っているケースでは、然るべき発 行元からの情報を元に、バージョンアップ等の適切な対策を実施いただければと思います。 ▪敢えて既知の脆弱性が存在するバージョンを使用しています 本資料と同様の検証をご自身で実施される場合は、自身の管理下のサンドボックス環境で実施するなど細心の注意を払った上 で、自己責任で行ってください。脆弱なシステムを動かすことで思わぬ攻撃の被害にあう可能性があります。 ▪個人の見解です 記載の内容はあくまで個人の検証内容および見解であり、所属組織とは一切関係ありません。

  3. Test Environment Vulnerable Server: https://github.com/okuken/sectest_java  - Spring Boot 2.6.1 *use

    spring-boot-starter-web  - Log4j 2.14.1 *CVE-2021-44228  - Java   - 8u112 *https://www.oracle.com/java/technologies/javase/8u121-relnotes.html#notes-8u121   - 8u181 *CVE-2018-3149   - 8u191 Attacker Server (PoC): https://github.com/pimps/JNDI-Exploit-Kit

  4. ※ It’s for illustration purpose. (not actual code) Flow Vulnearable

    Server 127.0.0.1:8080 Attacker Server (PoC) [RMI] 127.0.0.1:10990 [LDAP] 127.0.0.1:13890 [HTTP] 127.0.0.1:8180 Attacker ①HTTP Request ②LDAP Lookup ③Response (javaCodeBase is URL of Attacker HTTP Server) ④HTTP Request ⑤Response(.class) ⑥

  5. Java 8u112 - RMI [Attacker Server (PoC)] [Vulnerable Server] ...

  6. Java 8u112 - LDAP [Attacker Server (PoC)] [Vulnerable Server] ...

    ...

  7. Java 8u181 - RMI [Attacker Server (PoC)] [Vulnerable Server] ...

    NO calc

  8. Java 8u181 - LDAP [Attacker Server (PoC)] [Vulnerable Server] ...

  9. Java 8u191 - LDAP [Attacker Server (PoC)] [Vulnerable Server] NO

    calc

  10. Flow -bypass with EL- Vulnearable Server 127.0.0.1:8080 Attacker Server (PoC)

    [RMI] 127.0.0.1:10990 Attacker ①HTTP Request ②RMI Lookup ③Response (crafted ResourceRef *use javax.el.ELProcessor ) ④

  11. Java 8u191 – RMI(bypass with EL) [Attacker Server (PoC)] [Vulnerable

    Server]

  12. Flow -serialized payload- Vulnearable Server 127.0.0.1:8080 Attacker Server (PoC) [LDAP]

    127.0.0.1:13890 Attacker ①HTTP Request ②LDAP Lookup ③Response (serialized payload *generated by ysoserial ) ④

  13. Java 8u191 - LDAP(serialized payload) *add Apache Commons Collections 4.0

    to classpath [Attacker Server (PoC)] [Vulnerable Server] ...

  14. Demo

  15. Reference ▪ Log4j, CVE-2021-44228 - https://logging.apache.org/log4j/2.x/security.html#CVE-2021-44228 - https://logging.apache.org/log4j/2.x/security.html#Older_.28discredited.29_mitigation_measures - https://www.lunasec.io/docs/blog/log4j-zero-day/

    - https://mbechler.github.io/2021/12/10/PSA_Log4Shell_JNDI_Injection/ ▪ JNDI, Deserialization - https://www.veracode.com/blog/research/exploiting-jndi-injections-java - https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-LDAP- Manipulation-To-RCE.pdf - https://cheatsheetseries.owasp.org/assets/Deserialization_Cheat_Sheet_GOD16Deserialization.pdf ▪ PoC - https://github.com/okuken/sectest_java - https://github.com/pimps/JNDI-Exploit-Kit - https://github.com/frohoff/ysoserial