戟星安全实验室

0x00 反序列化有可能产生安全问题的形式

1.入口类的readObject 直接调用危险方法 ------基本不可能，一把不会有人会在服务器上重写readObject，而且又危险方法
2.入口类参数中包含可控类，该类有危险方法，readObject时调用
3.入口类参数中包含可控类，该类又调用其他危险方法，readObject时调用比如类定义为Object ,调用equals/hashcode/toString
重点：类型相同 同名函数
4.构造函数/静态代码块等类加载时隐式执行

0x02  调用链条件

共同条件：实现Serializable 最好jdk自带相同的类 或者通用包里面存在的类（例如Commons Collections）入口类： source 重写readObject 调用常见的函数 参数类型宽 例如；Map的实现类HashMap(object,object)
调用链： gadget chain 相同名称 相同类型执行类 ：sink rce ssrf 写文件等等 最重要

例如:URL（可以发起dns请求）InvokerTransformer(反射动态代码执行) TemplatesImpl(可以实现任意类加载)

下面就通过分析dnsurl这条链， 来学习挖掘调用链的思路。

0x03  dnsurl链是什么，有什么用？

0x04  HashMap分析

这里urldns这条路主要用的是HashMap这个类的反序列化，为什么用这个类呢？

1、可以被序列化 继承了Serializable接口
2、JDK自带，参数类型宽，可以传入任意object HashMap(object,object)
3、也重写了readObject

为什么要HashMap要重写readObject？

* 需要保住键值唯一性，所以需要计算键值hashCode,在不同机器上算出来的hashCode值是不一样的
* 查看重写的readObject方法，调用了hash()的方法计算key，hash()方法就是调用key的hashCode()方法，而且这里的key是个任意泛型，所有我们可以传入任意对象。

下面是HashCode.readObject()的片段代码，调用了hash(key)

// Read the keys and values, and put the mappings in the HashMapfor (int i = 0; i < mappings; i++) {@SuppressWarnings("unchecked")K key = (K) s.readObject();@SuppressWarnings("unchecked")V value = (V) s.readObject(); putVal(hash(key), key, value, false, false);

传入的是一个Object对象，但是为什么这么确定key里面有hashCode(),因为老祖宗Object就有这个hashCode自带方法,而且是传入的那个类重写了这个方法，就用重写之后的。

序列化进去的数据循序要和反序列化出来的对象循序对应（知识点）

@SuppressWarnings("unchecked")K key = (K) s.readObject();@SuppressWarnings("unchecked")V value = (V) s.readObject();

上面的readObject代码为什么是K key = (K) s.readObject(); 出来的是k类型，然后V value = (V) s.readObject(); 出来的V类, 让我想起了一个知识点：

因为序列化进去的数据要和反序列化出来的对象对应，为了验证我的想法，查看HashMap的writeObject方法

这里没有什么重要的信息，跟进internalWriteEntries(s)方法，代码很明显就是循环序列化key和value。

所以读出来的时候也是循环读key和value。

那么谁的hashCode()方法可以可以发起dns请求呢？

前面4.1已经分析HashMap类反序列化之后会调用key的hashCode()方法，我没就想，到底谁的hashCode可以发起dns请求呢，或者那个类的hashCode方法调用了危险的函数可以被我没利用呢？

URL这个类里面就满足了这些条件，查看URL类的hashCode()

跟进到URLStreamHandler类的hashCode

跟进getHostAddress方法，获取主机地址的意思，下面是getByName通过域名获取ip地址

跟进getAllByName

一直跟下去到IntetAddress 这里发起了dns请求

0x05 dnsurl链代码编写

序列化代码 其实就这么几行：

URL url = new URL("http://www.dns.com/");HashMap<URL,Integer> hashMap = new HashMap<>();Class<? extends URL> urlClass = url.getClass();//用反射改里面的值Field hashCode = urlClass.getDeclaredField("hashCode");hashCode.setAccessible(true);hashCode.set(url,11);//默认hashCode未-1，这样在put的时候就会发起dns请求，干扰判断hashMap.put(url,1);hashCode.set(url,-1);//把hashCode设置为-1，反序列化的时候也为-1，才会发起dns请求new ObjectOutputStream(new FileOutputStream("ser.bin")).writeObject(hashMap);

反序列化代码

new ObjectInputStream(new FileInputStream("ser.bin")).readObject();

代码分析

分析：hashCode.set(url,11); //这里是用反射改hashCode的值

为什么要改hashCode里面的值？

因为默认hashCode为-1，

这样在put的时候就会计算hash发起dns请求，干扰判断，然后put完之后改为-1，好让反序列化的时候触发计算hash促发dns请求。

下面是URL类的代码，如果hashCode为-1则计算hash,否则不计算

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，戟星安全实验室及文章作者不为此承担任何责任。

    戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经戟星安全实验室允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

戟星安全实验室

# 长按二维码 关注我们 #