java反序列化链学习——URLDNS链

最新推荐文章于 2025-04-20 11:06:24 发布
原创 最新推荐文章于 2025-04-20 11:06:24 发布 · 930 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #学习 #开发语言 #反序列化 #代码审计

文章目录

java反序列化hello world

与php的不同点就是,java的反序列化中,或者说java的类,没有php那么多的魔术⽅法。但是java的反序列化时,使⽤的readObject⽅法是可以重写的,所有的java反序列化漏洞,也是出于这个重写的时候出现的问题。

package serialize;

import java.io.*;

class User implements Serializable {
   
   
    private String name;

    public void setName(String name) {
   
   
        this.name = name;
    }

    public String getName() {
   
   
        return name;
    }
}

public class Main {
   
   
    public static void main(String[] args) throws Exception {
   
   
        User user = new User();
        user.setName("hello world");

        byte[] serializeData = serialize(user);

        FileOutputStream fout = new FileOutputStream("user.bin");
        fout.write(serializeData);
        fout.close();

        /*
         * ...
         * ...
         * ...
         * 中间有一堆流程
         */

        User user2 = (User) unserialize(serializeData);
        System.out.println(user2.getName());
    }

    // 将对象序列化成字节流
    public static byte[] serialize(final Object obj) throws Exception {
   
   
        ByteArrayOutputStream btout = new ByteArrayOutputStream();
        ObjectOutputStream objOut = new ObjectOutputStream(btout);
        objOut.writeObject(obj);
        return btout.toByteArray();
    }

    // 将字节流反序列化成对象
    public static Object unserialize(final byte[] serialized) throws Exception {
   
   
        ByteArrayInputStream btin = new ByteArrayInputStream(serialized);
        ObjectInputStream objIn = new ObjectInputStream(btin);
        return objIn.readObject();
    }
}

这是一个正常地反序列化过程,不存在问题

反序列化漏洞形成原因

假设,在整个jvm环境中,存在这样⼀个类

import java.io.Serializable;

class Evil implements Serializable {
   
   
    private String name;

    public void setName(String name) {
   
   
        this.name = name;
最低0.47元/天 解锁文章
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1314
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
反序列化URLDNS
BaiScorpio的博客
06-13 539
通过 URLDNS学习Java反序列化相关的知识。
JAVA反序列化深入学习(二):URLDNS
Neolock的博客
03-23 810
URLDNS 是适合新手分析的反序列化,只依赖原生类,没有 jdk 版本限制,也被 ysoserial 涵盖在其中。它不会执行命令,只会触发 DNS 解析,因此通常用来探测是否存在反序列化漏洞。
Java反序列化(二)——URLDNS、CC1
Xzy03210321的博客
08-13 1776
MapEntry这一种类来说,当Map遍历Entry(一个键值对)时,其底层就会将Map封装进MapEntry中,所以只需要遍历TransformedMap的Entry,并在遍历的过程中调用setValue,就能进入TransformedMap.checkSetValue(Object)中。而在遍历时,利用的是第一个参数Map,所以需要put个键值对进去,这样在遍历是才会非空,进入循环的逻辑里。
JAVA反序列化URLDNS
weixin_68408599的博客
12-16 957
跟进URL类中的hashCode()方法,这个hashCode()的值在调用put方法之后,我们将其又重新定义为了"-1"从而确保是反序列化来触发的请求。运行后查看DnsLog平台,发现触发了请求,也就是说,我们直接进行这样构造,不进行反序列化操作,就能触发DnsLog请求。值是私有的,因此无法直接进行更改,因此将其进行反射,将其修改为除"-1"意外的其他值。没错,在第二段中的put函数,和这个一样。,它定义了一个K类型的key变量,然后对反序列化的输入流进行反序列化,并把反序列化出的键赋值给key变量。
java URLDNS
Litsasuk的博客
05-07 1146
详细分析java反序列化中的URLDNS利用
java url dns_Java安全之URLDNS
weixin_39918084的博客
02-13 209
Java安全之URLDNS0x00 前言在学习Java反序列化漏洞的时候,就不得不学习他的一个利用。很多刚刚入门的对于利用这个词可能比较陌生。那么这里先来了解一下Java反序列化反序列化漏洞的一个产生。0x01 Java反序列化Java提供了一种对象序列化的机制,用一个字节序列表示一个对象,该字节包含对象的数据、对象的类型、对象的存储属性。字节序列写出到文件后,相当于可以持久报错了一个对...
Java安全——URLDNS利用
qq_51663706的博客
09-06 1328
URLDNS利用
java安全——ysoserial工具URLDNS分析
网络安全
09-08 2008
本篇我们将学习ysoserial工具的URLDNS,相对于前面学习的CC来说,URLDNS就比较简单了。 URLDNS是ysoserial工具用于检测是否存在Java反序列化漏洞的一个利用,通过URLDNS利用可以发起一次DNS查询请求,从而可以验证目标站点是否存在反序列化漏洞,并且该利用任何不需要第三方依赖,也没有JDK版本的限制。 但是URLDNS利用也只能用于发起DNS查询请求,也不能做其他事情,因此URLDNS更多的是用于POC检测。 有了前面的基础,这里直接上URLD
ysoserial之URLDNS
weixin_40151476的博客
03-04 1046
URLDNS的利用如下,这里直接引用p牛的,p牛牛p。
反序列化之路-URLDNS
鸣蜩十四的博客
05-17 994
URLDNS 是ysoserial中一个利用的名字,但准确来说,这个其实不能称作“利用”。因为其参数不是一个可以“利用”的命令,而是一个URL,其能触发的结果也不是命令执行,而是一次DNS请求。但是因为其使用Java内置的类构造,对第三方库没有依赖,并且gadget也简单,适合成为我们初学者刚开始学习反序列化利用的一个很好的开始。
[Java反序列化]—URLDNS
Sentiment的博客
04-14 1506
前言 URLDNS不能执行命令,但通常作为验证是否存在反序列化漏洞的一种方式,学习反序列化应先从URLDNS说起,因为它子短、易理解。 ysoserial 再谈URLDNS前,一定要说的一个工具ysoserial,ysoserial集合了各种java反序列化payload,可以说是Java反序列化的一个里程碑 工具使用 ysoserial 源码 ysoserial.jar ysoserial.jar java -jar ysoserial-[version]-all.jar [payload type]
URLDNS分析
sunyufei_666的博客
09-06 477
JAVA安全
java代码审计URLDNS
CheatMyself的博客
05-20 453
URLDNS利用 Java 中类的特性,生成一个仅触发 DNS 请求的序列化负载。这个利用非常适合用于检测和验证 Java 应用程序是否存在反序列化漏洞,因为它不限制jak版本,使用JAVA内置类,对第三方依赖没有要求,并且不会执行任意代码,只会触发 DNS 请求,从而降低测试过程中的风险。
URLDNS反序列化
遇事不决冲冲冲
01-28 4102
URLDNS URLDNS算是一条比较简单的利用,这条不依赖第三方库,它无法执行系统命令,成功利用的结果也只是实现服务器的一次url解析,主要用这条来判断服务器是否存在反序列化。接下来就这条的原理和poc进行分析。 原理分析 首先了解这一下这条是怎样执行的,代码中最重要的三个类是HashMap,URL,URLStreamHandler。其中HashMap重写了readObject方法,URL类是里面有个hashCode()方法被HashMap的readObject()调用了,URLStreamHa
URLDNS构造
最新发布
zj2084的博客
04-20 678
我们进行调试的时候第一步就是调用putVal这个函数,然后进一步调用hash这个函数,hash函数接着调用hashCode这个函数,hashCode然后再调用具体的url值,然后调用getHostAddress这个函数,最终调用到getByName,接着就做域名解析。我们继续向下调试,就会进入到URL里面的hashCode,这个hashCode是啥,就是URL这个对象的一个属性,同时在URL对象hashCode这个属性是私有的,且默认值是-1。也就是说,我们这个条的目的是什么?
JavaSec 基础之 URLDNS
akdelt的博客
03-08 1100
然后设置 hashCode 为 1234,这样put时 hashcode 不是默认的 -1 就不会走后面的逻辑而是直接返回 1234,所以 put 之后不会产生 dns 解析,然后我们设置 hashCode 为 -1,接着序列化 U,所以反序列化进入 hashCode 时 hashCode 为 -1,产生 dns 解析。也会触发 URL 的 hashcode 方法,第一次因为 hashcode 默认 -1 ,所以可以触发下面的方法,但是返回值赋给了 u 这个对象的 hashcode 再序列化 u。
Java反序列化-URLDNS(个人学习
Rsecret2的博客
06-02 1130
URLDNS 是ysoserial中利用的一个名字,通常用于检测是否存在Java反序列化漏洞。不限制jdk版本,使用Java内置类,对第三方依赖没有要求。所以通常用于检测反序列化的点目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用,只能发起DNS请求,并不能进行其他利用为什么选择HashMap作为入口类?参数种类多并且可控类可反序列化,实现了了序列化接口最终走到反序列化触发的readObject。
java反序列化漏洞子有哪些
04-01
### Java 反串行化漏洞的常见路及其利用方法 #### 背景介绍 Java 反序列化漏洞是一种常见的安全问题,攻击者可以通过构造恶意输入来触发目标程序中的不安全行为。这种漏洞通常发生在应用程序对接收到的数据进行反序列化的过程中,如果数据被篡改或者包含恶意代码,则可能导致远程代码执行 (RCE) 或其他严重后果。 #### 常见条及利用方式 ##### 1. **Apache Commons Collections** 这是最经典的 Java 反序列化漏洞之一。它依赖于 `Apache Commons Collections` 库中的某些类实现的功能组合[^3]。以下是其主要特点: - 利用 `Transformer` 和 `InvokerTransformer` 类构建自定义转换逻辑。 - 使用 `ChainedTransformer` 将多个 `Transformer` 连接起来形成复杂的命令执行路径。 - 构造一个特殊的 Map 对象(如 `TransformedMap`),当该对象的内容发生变化时会自动调用预设的 Transformer 条。 最终效果是在反序列化过程中触发动态代码加载或系统命令执行。 ```java // 示例代码片段展示如何创建恶意 AnnotationInvocationHandler 实例并注入 TransformedMap import java.lang.reflect.Proxy; import java.util.HashMap; public class Exploit { public static void main(String[] args) throws Exception{ HashMap<String, String> map = new HashMap<>(); // 创建恶意的 TransformedMap... Object payload = createPayload(map); System.out.println(payload); } } ``` ##### 2. **URLDNS ** 此条主要用于 DNS 请求外泄场景下探测内部网络结构或其他敏感信息泄露情况[^1]。具体机制如下: - 攻击者先准备一个特制的对象图谱,在其中嵌入指向外部可控服务器地址的信息节点; - 当受害者端完成对该对象图形恢复之后便会尝试访问指定位置从而暴露自身环境细节; 例如通过设置 HTTP 协议头字段值为特定格式字符串形式达到相同目的。 ##### 3. **CC2 Chain with PriorityQueue** 在这个版本里引入了新的组件——即优先队列(`PriorityQueue`)作为辅助工具参与整个流程控制之中[^4]: - 定义了一个比较器(comparator),使得每次插入新元素都会间接引发之前设定好的回调动作发生; - 结合前面提到过的那些危险操作符共同作用即可达成预期危害结果。 上述过程展示了完整的 CC2 工作原理以及它是怎样一步步引导至最终成功实施攻击行动的关键环节所在之处。 ##### 4. **AnnotationInvocationHandler 方法** 这种方法涉及到了 JDK 自身提供的 API 功能点 —— 特别是指向代理模式下的动态处理器部分[^5] : - 制作虚假注解类型的 Invocation Handler 并赋予关联属性 memberValues 的初始状态为空白字典表单样式; - 接着按照既定计划填充进去经过特别设计后的映射关系列表项内容; - 最后再经历标准编码保存步骤后发送出去等待接收方解析还原出来的时候就会激活隐藏在内的潜在威胁因子啦! --- ### 总结说明 以上列举了几种典型的针对 Java 平台上的序列/反序处理功能缺陷所开发出来的有效载荷生成方案。每一种都有各自适用范围局限性和应对措施建议可供参考借鉴学习之用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值