Java DNS Deserialization, GadgetProbe and Java Deserialization Scanner
DNS versoek op deserialisasie
Die klas java.net.URL
implementeer Serializable
, dit beteken dat hierdie klas geserialiseer kan word.
Hierdie klas het 'n merkwaardige gedrag. Uit die dokumentasie: "Twee gasheername word as ekwivalent beskou as beide gasheername na dieselfde IP-adresse opgelos kan word".
Dan, elke keer as 'n URL-objek enige van die funksies equals
of hashCode
aanroep, gaan 'n DNS-versoek om die IP-adres te kry, gestuur word.
Die aanroep van die funksie hashCode
van 'n URL-objek is redelik maklik, dit is genoeg om hierdie objek binne 'n HashMap
in te voeg wat gedeserializeer gaan word. Dit is omdat aan die einde van die readObject
-funksie van HashMap
hierdie kode uitgevoer word:
Dit is gaan die putVal
uitvoer met elke waarde binne die HashMap
. Maar, meer relevant is die oproep na hash
met elke waarde. Dit is die kode van die hash
-funksie:
Soos u kan sien, wanneer 'n HashMap
gedeserializeer word, gaan die funksie hash
uitgevoer word met elke objek en tydens die uitvoering van die hash
gaan .hashCode()
van die objek uitgevoer word. Daarom, as u 'n HashMap
gedeserializeer wat 'n URL objek bevat, sal die URL objek .hashCode()
uitvoer.
Nou, laat ons na die kode van URLObject.hashCode()
kyk:
Soos u kan sien, wanneer 'n URLObject
.hashCode()
uitvoer, word dit hashCode(this)
genoem. 'n Voortsetting wat u kan sien is die kode van hierdie funksie:
Jy kan sien dat 'n getHostAddress
uitgevoer word na die domein, wat 'n DNS-navraag aanstuur.
Daarom kan hierdie klas misbruik word om 'n DNS-navraag te lanceer om te demonstreer dat deserialisasie moontlik is, of selfs om inligting te eksfileer (jy kan die uitset van 'n opdraguitvoering as subdomein byvoeg).
URLDNS lading kodevoorbeeld
Jy kan die URLDNS lading kode van ysoserial hier vind. Nietemin, net om dit makliker te maak om te verstaan hoe om dit te kodeer, het ek my eie PoC geskep (gebaseer op dié van ysoserial):
Meer inligting
In die oorspronklike idee is die commons collections-payload verander om 'n DNS-navraag uit te voer, dit was minder betroubaar as die voorgestelde metode, maar hier is die pos: https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/
GadgetProbe
Jy kan GadgetProbe aflaai van die Burp Suite App Store (Extender).
GadgetProbe sal probeer om uit te vind of sekere Java-klasse op die Java-klas van die bediener bestaan sodat jy kan weet of dit kwesbaar is vir sekere bekende uitbuitings.
Hoe werk dit
GadgetProbe sal dieselfde DNS-payload van die vorige afdeling gebruik, maar voordat die DNS-navraag uitgevoer word, sal dit probeer om 'n willekeurige klas te deserialiseer. As die willekeurige klas bestaan, sal die DNS-navraag gestuur word en sal GadgetProbe aanteken dat hierdie klas bestaan. As die DNS-versoek nooit gestuur word nie, beteken dit dat die willekeurige klas nie suksesvol gedeserialiseer is nie, sodat dit óf nie teenwoordig is nie óf nie serialiseerbaar/uitbuitbaar is nie.
Binne die github, het GadgetProbe 'n paar woordlyste met Java-klasse om getoets te word.
Meer Inligting
Java Deserialisasie-skandeerder
Hierdie skandeerder kan afgelaai word van die Burp App Store (Extender). Die uitbreiding het passiewe en aktiewe vermoëns.
Passief
Standaard ondersoek dit passief al die versoek en antwoorde wat gestuur word op soek na Java-geserializeerde toordraaie en sal 'n kwesbaarheidswaarskuwing toon as enige gevind word:
Aktief
Handmatige Toetsing
Jy kan 'n versoek kies, regs klik en Stuur versoek na DS - Handmatige Toetsing
.
Dan, binne die Deserialisasie-skandeerder Tab --> Handmatige toetsing tab kan jy die invoegpunt kies. En begin die toetsing (Kies die toepaslike aanval afhangende van die gebruikte enkodering).
Selfs al word dit "Handmatige toetsing" genoem, dit is redelik geoutomatiseer. Dit sal outomaties nagaan of die deserialisasie kwesbaar is vir enige ysoserial-payload deur die biblioteke teenwoordig op die webbediener te ondersoek en sal die kwesbare eenhede beklemtoon. Om te ondersoek vir kwesbare biblioteke kan jy kies om Javas Sleeps te begin, sleeps via CPU-verbruik, of om DNS te gebruik soos voorheen genoem is.
Uitbuiting
Sodra jy 'n kwesbare biblioteek geïdentifiseer het, kan jy die versoek na die Uitbuiting Tab stuur. In hierdie tab moet jy weer die injeksiepunt kies, 'n kwesbare biblioteek kies waarvoor jy 'n payload wil skep, en die bevel. Druk dan net die toepaslike Aanval-knoppie.
Java Deserialisasie DNS Exfil-inligting
Laat jou payload iets soos die volgende uitvoer:
Meer Inligting
Last updated