04

—

编写POC

    既然了解了其反序列化后的触发流程，那其实我们已经可以尝试单独写POC了

    但上面代码会在序列化前就发生dns查询。 

    我们的目的是让它反序列化时触发dns查询操作，所以改改改！put方法里调用putVal，而putVal里又调了hash()

    看到这里是不是想起来了，在URL#hashCode()里因为hashCode变量值默认为-1才跳过if语句来到handler.hashCode()，也就是在这里面触发的查询。如果我们修改了hashCode变量值不等于-1，不就可以提前return了吗？

    dnslog重新获取一个url，代码修改为：

    运行后，没有访问记录，可见序列化时没有触发dns查询。

    代码还有个问题，URL#hashCode变量的值已经被修改为666，序列化后，这个值也会被序列化。反序列化时因为值不为-1，无法触发dns查询了。问题不大，put()值后把值改回来再序列化。最后完整代码为：

05

—

URLDNS中getObject分析

    回到我们一开始的URLDNS，先看第一行代码，它的作用是什么？

    URLDNS类中定义了SilentURLStreamHandler内部类继URLStreamHandler，同时重写了 URLStreamHandler父类的getHostAddress方法，直接return null。

    而在前面的反序列化分析中，我们也了解到这个getHostAddress方法是在URLStreamHandler#hashCode()方法中调用，通过它去让目标主机进行dns查询。

    重点来了，通过实例化子类，调用子类的getHostAddress方法，避免调用父类的getHostAddress，完美规避了dns查询。

    这与我们前面修改URL#hashCode属性值的方法大同小异，目的都是防止序列化之前触发dns查询。那么它怎样才能引用到子类的的方法？URL的其中一个构造方法允许我们传入URLStreamHandler对象。

    再看put对参数的引用，key就是我们传入的URL对象，value随便传点东西进行，有值就行。

    再看hash(key)

    又回到key.hashCode也就是URL#hashCode，这里handler就是URLDNS#getObject首行new的子类SilentURLStreamHandler对象。

    子类SilentURLStreamHandler并未重写hashCode()方法，因为继承关系，可以调用父类URLStreamHandler方法中的hashCode()。

    然后该方法中调用了getHostAddress方法，因为子类重写了getHostAddress方法，所以会优先执行本身已定义的方法，从而达到避免使用父类getHostAddress的方法。

    返回null，避免了DNS查询。那么，问题又来了，返回空之后进行序列化，那反序列化的时候不也触发不了DNS查询，岂不是完犊子了？

    在URL类中找到这个家伙：

整段代码试试水：

package ysoserial.test;
import java.io.*;
public class test2 {    public static void main(String[] args) throws IOException, ClassNotFoundException {        human person = new human("ch0mie", 18);        System.out.println("序列化前："+person.getAge());        //序列化        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(System.getProperty("user.dir")+"/src/main/java/ysoserial/test/dnslog.ser"));        oos.writeObject(person);        oos.close();;        //反序列化        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(System.getProperty("user.dir")+"/src/main/java/ysoserial/test/dnslog.ser"));        human hm = (human)ois.readObject();        System.out.println("反序列化后"+hm.getAge());        ois.close();    }}class human implements Serializable{    private String name;    transient int age;    public human(String name, int age){        this.name=name;        this.age=age;    }    public String getName(){        return this.name;    }    public int getAge(){        return this.age;    }}

    我的18岁没了，说明注解类型为transient的属性和方法不会被序列化，即“瞬态”回到这里。

transient URLStreamHandler handler;

    在使用子类SilentURLStreamHandler的getHostAddress方法，handler对象是不会被序列化到数据流中，即对反序列化时DNS查询的触发并不影响。

    真正触发DNS查询还是与URL#hashCode变量的值有关这行代码应该也猜到为什么要写了吧？

    在序列化前，执行到hashCode = handler.hashCode(this);

    再看getHostAddress，这段代码对h值并不影响 ，相当于加0。

    明显，h值最后返回绝不等于-1，此时URL#hashCode变量的值是大于0的，而它的值是可以被序列化的。

    这时反序列化的时候因为URL#hashCode变量的值不等于-1提前return了，也就无法触发dns查询。所以这也是为什么put之后，在序列化前要URL#hashCode变量的值重置为-1。

Reflections.setFieldValue(u, "hashCode", -1);

参考：

https://www.anquanke.com/post/id/208274

06

—

后记

    这是Fighter的第 20 篇文章。Fighter的背后是一个积极向上、永不言弃的大学生群体。也欢迎更多的小伙伴来加入Fighter，一起交流、成长进步。至此本文对URLDNS利用链的简单分析结束，如有不足之处，望指点纠正。