Java DNS Deserialization, GadgetProbe and Java Deserialization Scanner
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Klasa java.net.URL
implementira Serializable
, što znači da se ova klasa može serijalizovati.
Ova klasa ima znatiželjno ponašanje. Iz dokumentacije: “Dva hosta se smatraju ekvivalentnim ako se oba imena hosta mogu rešiti u iste IP adrese”.
Zatim, svaki put kada URL objekat pozove bilo koju od funkcija equals
ili hashCode
, DNS zahtev za dobijanje IP adrese će biti poslat.
Pozivanje funkcije hashCode
iz URL objekta je prilično jednostavno, dovoljno je da se ovaj objekat umetne unutar HashMap
koja će biti deseralizovana. To je zato što se na kraju funkcije readObject
iz HashMap
izvršava ovaj kod:
To će izvršiti putVal
sa svakom vrednošću unutar HashMap
. Ali, relevantniji je poziv na hash
sa svakom vrednošću. Ovo je kod funkcije hash
:
Kao što možete primetiti, kada se deserializuje HashMap
, funkcija hash
će biti izvršena sa svakim objektom i tokom izvršenja hash
biće izvršena .hashCode()
objekta. Stoga, ako deserializujete HashMap
koja sadrži URL objekat, URL objekat će izvršiti .hashCode()
.
Sada, hajde da pogledamo kod URLObject.hashCode()
:
Kao što možete videti, kada URLObject
izvrši .hashCode()
, poziva se hashCode(this)
. U nastavku možete videti kod ove funkcije:
Možete videti da se getHostAddress
izvršava za domen, pokrećući DNS upit.
Stoga, ova klasa može biti zloupotrebljena kako bi se pokrenuo DNS upit da prikaže da je deserijalizacija moguća, ili čak da ekfiltrira informacije (možete dodati kao poddomen izlaz izvršenja komande).
Možete pronaći URDNS payload kod od ysoserial ovde. Međutim, samo da bi bilo lakše razumeti kako to kodirati, napravio sam svoj PoC (na osnovu onog iz ysoserial):
U originalnoj ideji, payload commons collections je promenjen da izvrši DNS upit, ovo je bilo manje pouzdano od predložene metode, ali ovo je post: https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/
Možete preuzeti GadgetProbe iz Burp Suite App Store-a (Extender).
GadgetProbe će pokušati da utvrdi da li neke Java klase postoje na Java klasi servera kako biste znali da li je ranjiv na neki poznati exploit.
GadgetProbe će koristiti isti DNS payload iz prethodne sekcije ali pre nego što izvrši DNS upit, pokušaće da deserijalizuje proizvoljnu klasu. Ako proizvoljna klasa postoji, DNS upit će biti poslat i GadgetProbe će zabeležiti da ova klasa postoji. Ako DNS zahtev nikada nije poslat, to znači da proizvoljna klasa nije uspešno deserijalizovana, tako da ili nije prisutna ili nije serializabilna/eksploatisana.
Unutar github-a, GadgetProbe ima neke rečnike sa Java klasama za testiranje.
Ovaj skener se može preuzeti iz Burp App Store-a (Extender). Ekstenzija ima pasivne i aktivne mogućnosti.
Podrazumevano pasivno proverava sve zahteve i odgovore koji se šalju tražeći Java serializovane magične bajtove i predstaviće upozorenje o ranjivosti ako se bilo koja pronađe:
Ručno testiranje
Možete odabrati zahtev, desni klik i Send request to DS - Manual Testing
.
Zatim, unutar Deserialization Scanner Tab --> Manual testing tab možete odabrati tačku umetanja. I pokrenuti testiranje (Odaberite odgovarajući napad u zavisnosti od korišćenog kodiranja).
Čak i ako se ovo naziva "Ručno testiranje", prilično je automatizovano. Automatski će proveriti da li je deserijalizacija ranjiva na bilo koji ysoserial payload proveravajući biblioteke prisutne na web serveru i istaknuti one ranjive. Da biste proverili ranjive biblioteke, možete odabrati da pokrenete Javas Sleeps, sleeps putem CPU potrošnje, ili koristeći DNS kao što je prethodno pomenuto.
Eksploatacija
Kada identifikujete ranjivu biblioteku, možete poslati zahtev na Exploiting Tab. U ovoj kartici morate ponovo odabrati tačku injekcije, napišite ranjivu biblioteku za koju želite da kreirate payload, i komandu. Zatim, samo pritisnite odgovarajući Attack dugme.
Neka vaš payload izvrši nešto poput sledećeg:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)