ysoserial项目之URLDNS利用分析

2021-02-19 01:19

阅读:442

标签:它的   argument   运算   无符号   www   map对象   内部类   断点   允许   

前言

       通过查看dnslog.cn的域名解析记录,验证站点是否存在可利用的反序列化漏洞;同时也能作为判断目标主机是否能够出内网的依据。

 

java环境

       Jdk1.8.0_141

 

1、调试参数配置

先简单看一下URLDNS参数要求,这里就要一个url

 技术图片

  可以到dnslog生成一个(http://dnslog.cn/)

 技术图片

  找到入口类配置执行的参数,右上角箭头指向->Edit Congurations

然后选择我们的主类GeneratePayload以及配置Program arguments参数(参数之间空格隔开)

URLDNS http://al8d31.dnslog.cn

 技术图片

 2、GeneratePayload简单调试分析

参数配置完成后,在Utils.getPayloadClass行下个断点进行调试

 技术图片

  跟进,查看。

 技术图片

  发现try{}里的forName()并未反射成功,而在下一步才成功。原因是我们仅仅传入的是类名,并未包含完整包路径。

查看下面的测试代码可知,即便调用者在同级目录下,传入类名也是无法反射成功,必须要完整的路径。

 技术图片

  技术图片

  回到主题,最后将加载完成的URLDNS类返回

然后下面的newInstance()对URLDNS类加载和实例化(forName加载类、newInstance初始化两者结果相当于平时new对象)

 技术图片

  接着跟进getObject,可见来到URLDNS类获取HashMap对象

 技术图片

  到这里,先暂停,然后从反序列化过程去分析URLDNS类中getObject方法的编写思路

 

3、反序列化过程分析

在URLDNS文件中,查看其利用链:

 技术图片

  首先回到GeneratePayload中,注释最后的序列化操作,将我们生成的object序列化写入ser文件中

 技术图片

  代码:

FileOutputStream fo = new FileOutputStream(System.getProperty("user.dir")+"/src/main/java/ysoserial/dnslog.ser");
ObjectOutputStream obj_out = new ObjectOutputStream(fo);
obj_out.writeObject(object);
obj_out.close();

再反序列化读取自定义生成的dnslog.ser文件

 技术图片

  断点调试readObject()方法,跟进来到putVal()函数,可见key、value的值分别是我们传入的URL对象、url字符串

 技术图片

  先找到hash方法(ctrl+左键单击)下断点,再选择F7步入,否则进入的是putVal()而不是hash()

 技术图片

  因为key不为空,所以执行了(h = key.hashCode()) ^ (h >>> 16),h与其无符号右移16位的值进行异或运算

跟进查看URL#hashCode()

当前类中设定私有变量hashCode值为-1

 技术图片

  技术图片

  继续跟进URLStreamHandler#hashCode()

 技术图片

   查看jdk1.8的文档,结合文档说明,了解到这里将触发dns查询(有兴趣可以继续跟进)

 技术图片

  到这里,也达到了我们的目的,大概了解到其通过反序列化让目标主机被动进行dns查询的过程。

 

4、手动编写POC

既然了解了其反序列化后的触发流程,那其实我们已经可以尝试单独写POC了

 技术图片

  但上面代码会在序列化前就发生dns查询。

 技术图片

  我们的目的是让它反序列化时触发dns查询操作,所以改改改!

put方法里调用putVal,而putVal里又调了hash()

 技术图片

  技术图片

  看到这里是不是想起来了【狗头】,在URL#hashCode()里因为hashCode变量值默认为-1才跳过if语句来到handler.hashCode(),也就是在这里面触发的查询,如果我们修改了hashCode变量值不等于-1,不就可以提前return了吗?【机智】

技术图片

  dnslog重新获取一个url,代码修改为:

 技术图片

  运行后,没有访问记录,可见序列化时没有触发dns查询

 技术图片

  但代码还有个问题,URL#hashCode变量的值已经被修改为666,序列化后,这个值也会被序列化

反序列化时因为值不为-1,无法触发dns查询了,那岂不是凉凉,挖坑给自己跳?【挠头】

问题不大,put()值后把值改回来再序列化不就完美解决了嘛。【机智】

最后完整代码为:

 技术图片

  奈斯

 

5、URLDNS中getObject分析

回到我们一开始的URLDNS

先看第一行代码,它的作用是什么?

URLStreamHandler handler = new SilentURLStreamHandler();

 技术图片

  URLDNS类中定义了SilentURLStreamHandler内部类继承URLStreamHandler,同时重写了 URLStreamHandler父类的getHostAddress方法,直接return null

而在前面的反序列化分析中,我们也了解到这个getHostAddress方法是在URLStreamHandler#hashCode()方法中调用,通过它去让目标主机进行dns查询

 技术图片

  重点来了,通过实例化子类,调用子类的getHostAddress方法,避免调用父类的getHostAddress,完美规避了dns查询。

这与我们前面修改URL#hashCode属性值的方法大同小异,目的都是防止序列化之前触发dns查询。

那么它是怎样引用到子类的的方法?

URL的其中一个构造方法允许我们传入URLStreamHandler对象,但要避免序列化前做DNS查询,不能引用父类对象,也不能直接声明SilentURLStreamHandler子类对象(如:SilentURLStreamHandler handler = new SilentURLStreamHandler()),所以URLDNS中new的是子类的对象即父类引用子类对象

 技术图片

  技术图片

  再看put对参数的引用,key就是我们传入的URL对象,value随便传点东西进行,有值就行。

 技术图片

  再看hash(key)

 技术图片

  又回到key.hashCode也就是URL#hashCode,这里handler就是URLDNS#getObject首行new的子类SilentURLStreamHandler对象。

 技术图片

  子类SilentURLStreamHandler并未重写hashCode()方法,因为继承关系,可以调用父类URLStreamHandler方法中的hashCode(),然后该方法中调用了getHostAddress方法,因为子类重写了getHostAddress方法,所以会优先执行本身已定义的方法,从而达到避免使用父类getHostAddress的方法

 技术图片

  返回null,避免了DNS查询

那么,问题又来了,返回空之后进行序列化,那反序列化的时候不也触发不了DNS查询,岂不是完犊子了?

在URL类中找到这个家伙

 技术图片

  技术图片

  这。。。。。。这难道传说中的字面意思?

整段代码试试水

package ysoserial.test;

import java.io.*;

public class test2 {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        human person = new human("ch0mie", 18);
        System.out.println("序列化前:"+person.getAge());
        //序列化
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(System.getProperty("user.dir")+"/src/main/java/ysoserial/test/dnslog.ser"));
        oos.writeObject(person);
        oos.close();;
        //反序列化
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(System.getProperty("user.dir")+"/src/main/java/ysoserial/test/dnslog.ser"));
        human hm = (human)ois.readObject();
        System.out.println("反序列化后"+hm.getAge());
        ois.close();
    }
}
class human implements Serializable{
    private String name;
    transient int age;

    public human(String name, int age){
        this.name=name;
        this.age=age;
    }
    public String getName(){
        return this.name;
    }
    public int getAge(){
        return this.age;
    }

}

我的18岁没了,说明注解类型为transient的属性和方法不会被序列化,即“瞬态”

回到这里

transient URLStreamHandler handler;

在使用子类SilentURLStreamHandler的getHostAddress方法,handler对象是不会被序列化到数据流中,即对反序列化时DNS查询的触发并不影响。同时在反序列化时因为子类对象并未写入数据流,所以此时调用的是父类的getHostAddress方法。

真正触发DNS查询还是与URL#hashCode变量的值有关

这行代码应该也猜到为什么要写了吧?

 技术图片

  在序列化前,执行到hashCode = handler.hashCode(this);

 技术图片

  再看getHostAddress,这段代码对h值并不影响 ,相当于加0

 技术图片

技术图片

   明显,h值最后返回绝不等于-1,此时URL#hashCode变量的值是大于0的,而它的值是可以被序列化的。

这时反序列化的时候因为URL#hashCode变量的值不等于-1提前return了,也就无法触发dns查询

所以这也是为什么put之后,在序列化前要将URL#hashCode变量的值重置为-1

Reflections.setFieldValue(u, "hashCode", -1);

分析结束,如有不正之处,望各位大佬指点纠正。

 

如有不对的地方,望各位大佬指正。

欢迎各位大佬关注公众号”学渣成长之路“

文章都是第一时间发布至公众号,让我们共同学习相互进步

 

参考

https://www.anquanke.com/post/id/208274

 

ysoserial项目之URLDNS利用分析

标签:它的   argument   运算   无符号   www   map对象   内部类   断点   允许   

原文地址:https://www.cnblogs.com/gychomie/p/14406541.html


评论


亲,登录后才可以留言!