Java DNS Deserialization, GadgetProbe and Java Deserialization Scanner
シリアル化された DNS リクエスト
クラス java.net.URL
は Serializable
を実装しており、これはこのクラスがシリアル化できることを意味します。
このクラスには興味深い挙動があります。ドキュメントによると、「2つのホストが同等と見なされる条件は、両方のホスト名が同じIPアドレスに解決される場合」です。
そのため、URLオブジェクトが**equals
またはhashCode
のいずれかの関数を呼び出すたびに**、IPアドレスを取得するためのDNSリクエストが送信されます。
URLオブジェクトから**hashCode
関数を呼び出すことは非常に簡単で、このオブジェクトをデシリアライズされるHashMap
に挿入すれば十分です。これは、HashMap
のreadObject
**関数の最後にこのコードが実行されるためです:
それはHashMap
内のすべての値でputVal
を実行します。しかし、さらに重要なのは、すべての値でhash
を呼び出すことです。これがhash
関数のコードです:
如您所见,在对HashMap
进行反序列化时,函数hash
将会对每个对象执行,并且在**hash
执行期间将执行对象的.hashCode()
。因此,如果您反序列化一个包含URL对象的HashMap
,那么URL对象将会执行**.hashCode()
。
现在,让我们来看一下URLObject.hashCode()
的代码:
如何わかるように、URLObject
が.hashCode()
を実行すると、hashCode(this)
と呼ばれます。続いて、この関数のコードを見ることができます:
あるgetHostAddress
がドメインに対して実行され、DNSクエリが発行されることがわかります。
したがって、このクラスは悪用され、DNSクエリを発行して逆シリアル化が可能であることをデモンストレーションするために使用されるか、情報を外部に持ち出すためにも利用できます(コマンド実行の出力をサブドメインとして追加することができます)。
URLDNS ペイロードのコード例
ここからURDNSペイロードコードを見つけることができます。ただし、コードの作成方法を理解しやすくするために、ysoserialのものを基に独自のPoCを作成しました:
より詳しい情報
オリジナルのアイデアでは、Commons CollectionsのペイロードがDNSクエリを実行するように変更されましたが、これは提案された方法よりも信頼性が低かったです。以下がそのポストです: https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/
GadgetProbe
GadgetProbeをBurp Suite App Store(Extender)からダウンロードできます。
GadgetProbeは、サーバーのJavaクラスにいくつかのJavaクラスが存在するかどうかを調べ、それが既知の脆弱性に対して脆弱かどうかを知ることができます。
動作原理
GadgetProbeは、前のセクションのDNSペイロードを使用しますが、DNSクエリを実行する前に任意のクラスをデシリアライズしようとします。任意のクラスが存在する場合、DNSクエリが送信され、GadgetProbeはこのクラスが存在することを記録します。DNSリクエストが送信されない場合、これは任意のクラスが正常にデシリアライズされなかったことを意味し、それは存在しないか、シリアライズ可能/悪用可能ではないことを示します。
GitHub内には、GadgetProbeにいくつかのワードリストがあり、テスト用のJavaクラスが含まれています。
より詳しい情報
Java Deserialization Scanner
このスキャナはBurp App Store(Extender)からダウンロードできます。 この拡張機能にはパッシブおよびアクティブな機能があります。
パッシブ
デフォルトでは、すべてのリクエストとレスポンスをパッシブにチェックし、Javaシリアライズのマジックバイトを探して、見つかった場合は脆弱性警告を表示します:
アクティブ
手動テスト
リクエストを選択し、右クリックしてSend request to DS - Manual Testing
をクリックします。
次に、Deserialization Scanner Tab --> _Manual testing tab_内で挿入ポイントを選択し、テストを実行します(使用されているエンコーディングに応じて適切な攻撃を選択します)。
これが「手動テスト」と呼ばれているにもかかわらず、かなり自動化されています。Webサーバーに存在するライブラリをチェックし、脆弱なものを強調表示します。脆弱なライブラリをチェックするには、Javas Sleeps、CPU消費を介したsleeps、または以前に言及されたようにDNSを起動することができます。
悪用
脆弱なライブラリを特定したら、リクエストを_Exploiting Tab_に送信できます。 このタブでは、再び挿入ポイントを選択し、作成したい脆弱なライブラリとコマンドを入力し、適切なAttackボタンを押すだけです。
Java Deserialization DNS Exfil 情報
ペイロードを以下のように実行するようにしてください:
もっと情報
Last updated