Java DNS Deserialization, GadgetProbe and Java Deserialization Scanner
PreviousJava JSF ViewState (.faces) DeserializationNextBasic Java Deserialization (ObjectInputStream, readObject)
Last updated
Last updated
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
La classe java.net.URL implementa Serializable, questo significa che questa classe può essere serializzata.
Questa classe ha un comportamento curioso. Dalla documentazione: “Due host sono considerati equivalenti se entrambi i nomi host possono essere risolti negli stessi indirizzi IP”.
Quindi, ogni volta che un oggetto URL chiama qualsiasi delle funzioni equals o hashCode, una richiesta DNS per ottenere l'indirizzo IP verrà inviata.
Chiamare la funzione hashCode da un oggetto URL è abbastanza semplice, è sufficiente inserire questo oggetto all'interno di un HashMap che verrà deserializzato. Questo perché alla fine della funzione readObject di HashMap viene eseguito questo codice:
È in corso l'esecuzione di putVal con ogni valore all'interno del HashMap. Ma, più rilevante è la chiamata a hash con ogni valore. Questo è il codice della funzione hash:
Come puoi osservare, quando deserializzi un HashMap la funzione hash verrà eseguita con ogni oggetto e durante l'esecuzione del hash verrà eseguito .hashCode() dell'oggetto. Pertanto, se deserializzi un HashMap contenente un oggetto URL, l'oggetto URL eseguirà .hashCode().
Ora, diamo un'occhiata al codice di URLObject.hashCode():
Come puoi vedere, quando un URLObject esegue .hashCode(), viene chiamato hashCode(this). Una continuazione puoi vedere il codice di questa funzione:
Puoi vedere che viene eseguito un getHostAddress sul dominio, lanciando una query DNS.
Pertanto, questa classe può essere abusata per lanciare una query DNS per dimostrare che la deserializzazione è possibile, o anche per esfiltrare informazioni (puoi aggiungere come sottodominio l'output di un'esecuzione di comando).
Puoi trovare il codice payload URDNS di ysoserial qui. Tuttavia, solo per rendere più facile capire come codificarlo, ho creato il mio PoC (basato su quello di ysoserial):
Nell'idea originale il payload delle commons collections è stato modificato per eseguire una query DNS, questo era meno affidabile del metodo proposto, ma questo è il post: https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/
Puoi scaricare GadgetProbe dal Burp Suite App Store (Extender).
GadgetProbe cercherà di capire se alcune classi Java esistono sulla classe Java del server in modo da sapere se è vulnerabile a qualche exploit noto.
GadgetProbe utilizzerà lo stesso payload DNS della sezione precedente ma prima di eseguire la query DNS cercherà di deserializzare una classe arbitraria. Se la classe arbitraria esiste, la query DNS sarà inviata e GadgetProbe annoterà che questa classe esiste. Se la richiesta DNS non viene mai inviata, questo significa che la classe arbitraria non è stata deserializzata con successo, quindi o non è presente o non è serializzabile/sfruttabile.
All'interno di github, GadgetProbe ha alcune wordlist con classi Java da testare.
Questo scanner può essere scaricato dal Burp App Store (Extender). L'estensione ha capacità passive e attive.
Per impostazione predefinita, controlla passivamente tutte le richieste e le risposte inviate cercando byte magici serializzati Java e presenterà un avviso di vulnerabilità se ne viene trovata una:
Test Manuale
Puoi selezionare una richiesta, fare clic con il tasto destro e Invia richiesta a DS - Test Manuale.
Poi, all'interno della scheda Deserialization Scanner --> scheda Test Manuale puoi selezionare il punto di inserimento. E lanciare il test (Seleziona l'attacco appropriato a seconda della codifica utilizzata).
Anche se questo è chiamato "Test Manuale", è piuttosto automatizzato. Controlla automaticamente se la deserializzazione è vulnerabile a qualunque payload ysoserial controllando le librerie presenti sul server web e evidenzierà quelle vulnerabili. Per controllare le librerie vulnerabili puoi scegliere di lanciare Javas Sleeps, sleeps tramite consumo CPU, o usando DNS come è stato precedentemente menzionato.
Sfruttamento
Una volta identificata una libreria vulnerabile, puoi inviare la richiesta alla Scheda di Sfruttamento. In questa scheda devi selezionare di nuovo il punto di iniezione, scrivere la libreria vulnerabile per cui vuoi creare un payload e il comando. Poi, premi semplicemente il pulsante Attacco appropriato.
Fai eseguire al tuo payload qualcosa di simile al seguente:
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
