Question

4.1 调用链

 *     HashMap.readObject()
 *       HashMap.putVal()
 *         HashMap.hash()
 *           URL.hashCode()

payload：

HashMap ht = new HashMap(); 
URL u = new URL("dnslog");
// 这里在序列化时不发送请求，防止在反序列化探测时误判
Class c = u.getClass();
Field f = c.getDeclaredField("hashCode");
f.setAccessible(true);
f.set(u, 1234);
ht.put(u, "Geekby");
// 把 hashcode 改为 -1，还原
f.set(u, -1);

4.2 分析

首先查看 HashMap 的 ReadObject 方法

339 行：在调用 putVal 方法之前会调用 hash 方法，查看其源代码：

899 - 903 行：如果 key == null ，hashcode 赋值为 0。key 存在的话，则调用 key 的 hashcode 方法。

在本 gadget 中，key 为 URL 对象。接着，跟进 URL 的 hashCode 方法。

URL 类的 hashCode 很简单。如果 hashcode 不为 -1，则返回 hashcode。在序列化构造 payload 的时候，需要设置 hashcode 为 -1 的原因，就是防止进入到 hashcode 方法中，进而发送 DNS 请求，影响判断。

当 hashcode==-1 ，调用 handler 的 hashCode 方法。该类的定义在 URL 的构造函数中，主要是根据 scheme 去决定用什么类做 handler。在这里是 URLStreamHandler 类，跟进 URLStreamHandler 的 hashcode 方法。

在第 359 行，调用 getHostAddress 获取域名对应的 IP。

DNSURL 链便是利用该处，来触发 DNSLog 发送请求。

参考

• phith0n Java 漫谈系列
• Java 反序列化漏洞原理解析
• Java 反序列化漏洞从入门到关门
• 从 0 开始学 Java 反序列化漏洞
• 深入理解 JAVA 反序列化漏洞
• Java 反序列化利用链补全计划