Java DNS Deserialization, GadgetProbe and Java Deserialization Scanner
Запит DNS під час десеріалізації
Клас java.net.URL
реалізує Serializable
, це означає, що цей клас може бути серіалізований.
Цей клас має цікаву поведінку. З документації: "Два хости вважаються еквівалентними, якщо обидва імені хоста можуть бути розкриті в однакові IP-адреси".
Отже, кожного разу, коли об'єкт URL викликає будь-яку з функцій equals
або hashCode
, буде відправлено запит DNS для отримання IP-адреси.
Виклик функції hashCode
з об'єкта URL досить простий, достатньо вставити цей об'єкт всередину HashMap
, який буде десеріалізований. Це тому, що в кінці функції readObject
з HashMap
виконується цей код:
Це виконає putVal
з кожним значенням всередині HashMap
. Але більш важливим є виклик hash
з кожним значенням. Це код функції hash
:
Як ви можете спостерігати, під час десеріалізації HashMap
функція hash
буде виконуватися з кожним об'єктом і під час виконання hash
буде виконано .hashCode()
об'єкта. Тому, якщо ви десеріалізуєте HashMap
, що містить об'єкт URL, об'єкт URL виконає .hashCode()
.
Тепер давайте подивимося на код URLObject.hashCode()
:
Як ви бачите, коли URLObject
виконує .hashCode()
, викликається hashCode(this)
. У продовженні ви можете побачити код цієї функції:
Ви можете побачити, що виконується getHostAddress
до домену, запускаючи запит DNS.
Отже, цей клас можна зловживати для запуску запиту DNS для демонстрації, що десеріалізація можлива, або навіть для ексфільтрації інформації (можна додати в якості піддомену вивід виконання команди).
Приклад коду навантаження URLDNS
Ви можете знайти код навантаження URDNS від ysoserial тут. Однак, лише для того, щоб зрозуміти, як його кодувати, я створив свій власний PoC (на основі того, що від ysoserial):
Додаткова інформація
У початковій ідеї пакунок commons collections був змінений для виконання запиту DNS, це було менш надійно, ніж запропонований метод, але ось посилання на пост: https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/
GadgetProbe
Ви можете завантажити GadgetProbe з Burp Suite App Store (Extender).
GadgetProbe спробує визначити, чи існують деякі класи Java на класі Java сервера, щоб ви могли знати, чи він вразливий до деякого відомого експлойту.
Як це працює
GadgetProbe використовуватиме той самий DNS пакунок з попереднього розділу, але перед виконанням запиту DNS він спробує десеріалізувати довільний клас. Якщо довільний клас існує, запит DNS буде відправлений, і GadgProbe зафіксує, що цей клас існує. Якщо запит DNS ніколи не відправляється, це означає, що довільний клас не був десеріалізований успішно, отже, його або немає, або він не є серіалізованим/експлойтованим.
На GitHub, GadgetProbe має деякі словники з Java класами для тестування.
Додаткова інформація
Сканер десеріалізації Java
Цей сканер можна завантажити з Burp App Store (Extender). Розширення має пасивні та активні можливості.
Пасивний
За замовчуванням він пасивно перевіряє всі відправлені запити та відповіді, шукаючи магічні байти Java серіалізації і попередження про вразливість, якщо будь-який з них знайдено:
Активний
Ручне тестування
Ви можете вибрати запит, клацнути правою кнопкою миші та Send request to DS - Manual Testing
.
Потім, всередині Вкладка сканера десеріалізації --> Вкладка ручного тестування ви можете вибрати точку вставки. І запустити тестування (Виберіть відповідну атаку в залежності від використаного кодування).
Навіть якщо це називається "Ручне тестування", це досить автоматизовано. Він автоматично перевіряє, чи вразлива десеріалізація на будь-який пакунок ysoserial, перевіряючи бібліотеки, присутні на веб-сервері, і підкреслює вразливі. Для перевірки вразливих бібліотек ви можете вибрати запуск Javas Sleeps, sleeps через використання CPU або використання DNS, як це було згадано раніше.
Експлуатація
Після того, як ви виявили вразливу бібліотеку, ви можете відправити запит на вкладку Exploiting Tab. На цій вкладці вам потрібно вибрати точку введення знову, написати вразливу бібліотеку, для якої ви хочете створити пакунок, і команду. Потім просто натисніть відповідну кнопку Атаки.
Інформація про витік Java Deserialization DNS
Зробіть ваш пакунок виконати щось на зразок:
Додаткова інформація
Last updated