小红花·文摘

JNDI注入

像清水一般清澈透明 ·

JNDI（Java命名和目录接口）是Java应用程序与命名服务和目录系统交互的API，支持LDAP和RMI等多种协议。文章讨论了JNDI的实现、漏洞分析以及LDAP的基本流程和结构，强调了安全性的重要性。

JNDI

FreeBuf网络安全行业门户 ·

Apache软件基金会披露了Apache Jackrabbit Core和JCR Commons组件中的重要漏洞（CVE-2025-58782），影响1.0.0至2.22.1版本。该漏洞可能导致JNDI注入和远程代码执行，建议用户立即升级至2.22.2版本以修复此问题。

Apache Jackrabbit最新漏洞可导致JNDI注入与远程代码执行

FreeBuf网络安全行业门户 ·

JNDI（Java命名和目录接口）是一个标准的Java接口，用于定位资源和程序对象，支持JDBC、LDAP和DNS等多种服务。它提供命名和目录服务，允许通过名称查找对象并管理属性。用户可通过环境变量访问不同服务，并使用RMI和DNS示例查找和调用远程对象。

Java JNDI注入深度解析

FreeBuf网络安全行业门户 ·

本文分析了漏洞的调用流程，包括参数传递、反序列化器创建与注册、字段类型动态解析等，最终导致远程JNDI服务的命令执行。

fasjson 1.2.24 反序列化漏洞超详细分析

FreeBuf网络安全行业门户 ·

Log4Shell是Apache Log4j中的一个严重漏洞，允许远程代码执行。攻击者通过JNDI查找机制利用特制日志消息连接外部服务器，加载恶意Java类。该漏洞影响广泛的Java应用，开发者需加强安全防护。

2025 Log4Shell 利用指南

FreeBuf网络安全行业门户 ·

JNDI注入利用Java资源访问接口，攻击者可通过控制查找地址加载恶意类，实现远程代码执行。关键条件为使用低版本Java和未过滤的输入点。漏洞可通过HTTP参数或文件上传构造Payload并发送。防御措施包括升级依赖、禁用JNDI功能和加强输入验证。

Java漏洞在黑盒实战中的技巧——JNDI注入篇

FreeBuf网络安全行业门户 ·

攻击者利用Fastjson反序列化漏洞，通过编写恶意Java类并结合JNDI和RMI服务，实现远程代码执行。攻击流程包括编译恶意类、启动RMI服务和发送特定payload，最终导致目标服务器执行恶意代码。防护措施包括升级Fastjson版本、限制JVM参数和网络流量过滤。

fastjson 反序列化RCE漏洞复现

FreeBuf网络安全行业门户 ·

JNDI高版本注入涉及Java安全，利用框架漏洞实现远程代码执行。低版本JNDI可通过LDAP攻击，高版本需绕过限制。攻击者可构造恶意类并利用Tomcat的BeanFactory执行任意代码。ELProcessor类可用于表达式注入，攻击流程包括实例化工厂、解析方法名并调用。尽管某些类无法实现RCE，但仍具利用价值。

快速了解JNDI（Java命名和目录接口）

DEV Community ·

这篇文章介绍了如何使用ldaps进行JNDI注入的漏洞探测。ldaps是将普通的LDAP协议通信过程包裹一层TLS，可以通过CoNote等工具进行搭建LDAPS服务器。文章还提到了Opportunistic TLS和LDAPS两种安全传输方式，并介绍了利用JNDInjector等工具建立恶意ldaps服务器的方法。最后演示了利用JNDInjector成功执行命令的过程。

如何巧妙构建“LDAPS”服务器利用JNDI注入

离别歌 ·

本文介绍了Oracle Fusion Middleware和Oracle WebLogic Server存在的安全漏洞，攻击者可以利用该漏洞访问敏感数据。漏洞复现和修复建议也在文章中提到。

漏洞复现｜Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)

FreeBuf网络安全行业门户 ·

Oracle官方发布的2024年1月补丁修复了Weblogic T3\IIOP协议的远程命令执行漏洞CVE-2024-20931。该漏洞由亿格云安全研究员Glassy在2023年10月提交给Oracle。补丁限制了绑定ForeignOpaqueReference对象时对jndiEnvironment中providerURL的设置，并对lookup的JNDI链接的协议做了严格限制。漏洞的挖掘还有可能通过寻找其他实现OpaqueReference接口的类的getReferent函数，绕过补丁中的JNDIUtils.isValidJndiScheme函数，以及在java.naming.provider.url为空的情况下寻求代码执行的可能性。