<summary><strong>Erlernen Sie AWS-Hacking von Grund auf mit</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
**Serialisierung** wird als die Methode verstanden, ein Objekt in ein Format umzuwandeln, das erhalten bleiben kann, mit dem Ziel, das Objekt entweder zu speichern oder als Teil eines Kommunikationsprozesses zu übertragen. Diese Technik wird häufig eingesetzt, um sicherzustellen, dass das Objekt zu einem späteren Zeitpunkt wiederhergestellt werden kann, wobei seine Struktur und sein Zustand erhalten bleiben.
**Deserialisierung** hingegen ist der Prozess, der der Serialisierung entgegenwirkt. Es beinhaltet das Entgegennehmen von Daten, die in einem bestimmten Format strukturiert wurden, und das Zurückführen in ein Objekt.
Deserialisierung kann gefährlich sein, da sie potenziell **Angreifern ermöglicht, die serialisierten Daten zu manipulieren, um schädlichen Code auszuführen** oder unerwartetes Verhalten in der Anwendung während des Objektrekonstruktionsprozesses zu verursachen.
*`__sleep`: Wird aufgerufen, wenn ein Objekt serialisiert wird. Diese Methode sollte ein Array mit den Namen aller Eigenschaften des Objekts zurückgeben, die serialisiert werden sollen. Sie wird häufig verwendet, um ausstehende Daten zu übertragen oder ähnliche Aufräumarbeiten durchzuführen.
*`__wakeup`: Wird aufgerufen, wenn ein Objekt deserialisiert wird. Es wird verwendet, um eventuelle während der Serialisierung verlorene Datenbankverbindungen wiederherzustellen und andere Initialisierungsaufgaben durchzuführen.
*`__unserialize`: Diese Methode wird anstelle von `__wakeup` aufgerufen (falls vorhanden), wenn ein Objekt deserialisiert wird. Sie bietet mehr Kontrolle über den Deserialisierungsprozess im Vergleich zu `__wakeup`.
*`__destruct`: Diese Methode wird aufgerufen, wenn ein Objekt kurz davor ist, zerstört zu werden oder wenn das Skript endet. Sie wird typischerweise für Aufräumarbeiten wie das Schließen von Datei-Handles oder Datenbankverbindungen verwendet.
*`__toString`: Diese Methode ermöglicht es, ein Objekt als Zeichenkette zu behandeln. Sie kann zum Lesen einer Datei oder für andere Aufgaben basierend auf den Funktionsaufrufen darin verwendet werden und bietet effektiv eine textuelle Darstellung des Objekts.
Wenn Sie sich die Ergebnisse ansehen, können Sie feststellen, dass die Funktionen **`__wakeup`** und **`__destruct`** aufgerufen werden, wenn das Objekt deserialisiert wird. Beachten Sie, dass in mehreren Tutorials die Funktion **`__toString`** aufgerufen wird, wenn versucht wird, ein Attribut zu drucken, aber anscheinend passiert das **nicht mehr**.
Die Methode **`__unserialize(array $data)`** wird **anstelle von `__wakeup()`** aufgerufen, wenn sie in der Klasse implementiert ist. Sie ermöglicht es Ihnen, das Objekt zu deserialisieren, indem Sie die serialisierten Daten als Array bereitstellen. Sie können diese Methode verwenden, um Eigenschaften zu deserialisieren und alle erforderlichen Aufgaben bei der Deserialisierung auszuführen.
Sie können ein erklärtes **PHP-Beispiel hier** lesen: [https://www.notsosecure.com/remote-code-execution-via-php-unserialize/](https://www.notsosecure.com/remote-code-execution-via-php-unserialize/), hier [https://www.exploit-db.com/docs/english/44756-deserialization-vulnerability.pdf](https://www.exploit-db.com/docs/english/44756-deserialization-vulnerability.pdf) oder hier [https://securitycafe.ro/2015/01/05/understanding-php-object-injection/](https://securitycafe.ro/2015/01/05/understanding-php-object-injection/)
Beachten Sie, dass Sie in mehreren Fällen **möglicherweise keinen Weg finden können, eine Deserialisierung im Quellcode der Anwendung zu missbrauchen**, aber Sie könnten in der Lage sein, **den Code externer PHP-Erweiterungen zu missbrauchen.**\
Überprüfen Sie daher, wenn möglich, die `phpinfo()` des Servers und **suchen Sie im Internet** (und sogar in den **Gadgets** von **PHPGGC**) nach möglichen Gadgets, die Sie missbrauchen könnten.
Wenn Sie eine LFI gefunden haben, die nur die Datei liest und den darin enthaltenen PHP-Code nicht ausführt, beispielsweise mit Funktionen wie _**file\_get\_contents(), fopen(), file() oder file\_exists(), md5\_file(), filemtime() oder filesize()**_**.** Können Sie versuchen, eine **Deserialisierung** auszunutzen, die beim **Lesen** einer **Datei** mit dem **phar**-Protokoll auftritt.\
Für weitere Informationen lesen Sie den folgenden Beitrag:
Die folgende Seite präsentiert die Technik, um eine unsichere Deserialisierung in YAML-Python-Bibliotheken zu **missbrauchen** und endet mit einem Tool, das verwendet werden kann, um RCE-Deserialisierungspayloads für **Pickle, PyYAML, jsonpickle und ruamel.yaml** zu generieren:
JS hat keine "magischen" Funktionen wie PHP oder Python, die nur zur Erstellung eines Objekts ausgeführt werden. Aber es hat einige Funktionen, die häufig verwendet werden, auch ohne sie direkt aufzurufen, wie **`toString`**, **`valueOf`**, **`toJSON`**.\
Wenn Sie bei einer Deserialisierung diese Funktionen **kompromittieren, um anderen Code auszuführen** (potenziell die Prototyp-Verschmutzung missbrauchen), könnten Sie beliebigen Code ausführen, wenn sie aufgerufen werden.
Ein weiterer "magischer" Weg, eine Funktion aufzurufen, ohne sie direkt aufzurufen, besteht darin, ein Objekt zu kompromittieren, das von einer asynchronen Funktion zurückgegeben wird (Promise). Denn wenn Sie dieses Rückgabeobjekt in ein anderes Promise mit einer Eigenschaft namens "then" vom Typ Funktion **umwandeln**, wird es einfach ausgeführt, weil es von einem anderen Promise zurückgegeben wird. _Folgen Sie_ [_**diesem Link**_](https://blog.huli.tw/2022/07/11/en/googlectf-2022-horkos-writeup/) _für weitere Informationen._
Wie Sie im letzten Code-Abschnitt sehen können, wird **wenn das Flag gefunden wird**`eval` verwendet, um die Funktion zu deserialisieren, sodass im Grunde genommen **Benutzereingaben innerhalb der `eval`-Funktion verwendet werden**.
Jedoch **wird allein durch das Serialisieren** einer Funktion diese nicht ausgeführt, da es erforderlich wäre, dass ein Teil des Codes **`y.rce` aufruft** in unserem Beispiel und das ist höchst **unwahrscheinlich**.\
Wie auch immer, Sie könnten einfach das serialisierte Objekt **modifizieren** und **einige Klammern hinzufügen**, um die serialisierte Funktion automatisch auszuführen, wenn das Objekt deserialisiert wird.\
Im nächsten Code-Abschnitt **achten Sie auf die letzten Klammern** und wie die `unserialize`-Funktion den Code automatisch ausführen wird:
Wie bereits erwähnt, wird diese Bibliothek den Code nach `_$$ND_FUNC$$_` abrufen und ihn mit `eval`**ausführen**. Um also **Code automatisch auszuführen**, können Sie den Teil der Funktionsdefinition löschen und die letzte Klammer entfernen und **einfach einen JavaScript-Einzeller** ausführen, wie im folgenden Beispiel:
Sie können [**hier**](https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/) **weitere Informationen** darüber finden, wie man diese Schwachstelle ausnutzen kann.
Ein bemerkenswerter Aspekt von **funcster** ist die Unzugänglichkeit von **Standard-Objekten**; sie fallen außerhalb des zugänglichen Bereichs. Diese Einschränkung verhindert die Ausführung von Code, der versucht, Methoden auf Standard-Objekten aufzurufen, was zu Ausnahmen wie `"ReferenceError: console is not defined"` führt, wenn Befehle wie `console.log()` oder `require(something)` verwendet werden.
Trotz dieser Einschränkung ist die Wiederherstellung des vollen Zugriffs auf den globalen Kontext, einschließlich aller Standard-Objekte, durch einen spezifischen Ansatz möglich. Durch direkte Nutzung des globalen Kontexts kann diese Einschränkung umgangen werden. Zum Beispiel kann der Zugriff mithilfe des folgenden Snippets wiederhergestellt werden:
**Für** [**weitere Informationen lesen Sie diese Quelle**](https://www.acunetix.com/blog/web-security-zone/deserialization-vulnerabilities-attacking-deserialization-in-js/)**.**
Das **serialize-javascript**-Paket ist ausschließlich für Serialisierungszwecke konzipiert und verfügt über keine integrierten Deserialisierungsfunktionen. Benutzer sind dafür verantwortlich, ihre eigene Methode zur Deserialisierung zu implementieren. Ein direkter Einsatz von `eval` wird vom offiziellen Beispiel zur Deserialisierung serialisierter Daten vorgeschlagen:
**Für** [**weitere Informationen lesen Sie diese Quelle**](https://www.acunetix.com/blog/web-security-zone/deserialization-vulnerabilities-attacking-deserialization-in-js/)**.**
In Java werden **Deserialisierungs-Rückrufe während des Deserialisierungsprozesses ausgeführt**. Diese Ausführung kann von Angreifern ausgenutzt werden, die bösartige Payloads erstellen, die diese Rückrufe auslösen und so potenziell schädliche Aktionen ausführen.
*`XMLDecoder`, die mit von externen Benutzern definierten Parametern verwendet werden.
* Die Methode `fromXML` von `XStream`, insbesondere wenn die XStream-Version kleiner oder gleich 1.46 ist, da sie anfällig für Serialisierungsprobleme ist.
*`ObjectInputStream` in Verbindung mit der Methode `readObject`.
Für Black-Box-Tests suchen Sie nach spezifischen **Signaturen oder "Magic Bytes"**, die auf Java-serialisierte Objekte hinweisen (ausgehend von `ObjectInputStream`):
* Webdateien mit der Erweiterung `.faces` und dem Parameter `faces.ViewState`. Das Entdecken dieser Muster in einer Webanwendung sollte eine Untersuchung gemäß des [Beitrags über die Deserialisierung des Java JSF ViewState](java-jsf-viewstate-.faces-deserialization.md) auslösen.
Wenn Sie mehr über die Funktionsweise eines Java Deserialisierungsangriffs erfahren möchten, sollten Sie sich [**Grundlegende Java-Deserialisierung**](basic-java-deserialization-objectinputstream-readobject.md), [**Java DNS-Deserialisierung**](java-dns-deserialization-and-gadgetprobe.md) und [**CommonsCollection1 Payload**](java-transformers-to-rutime-exec-payload.md) ansehen.
Sie könnten versuchen, **alle Bibliotheken** zu überprüfen, die als verwundbar bekannt sind und für die [**Ysoserial** ](https://github.com/frohoff/ysoserial) einen Exploit bereitstellen kann. Oder Sie könnten die Bibliotheken überprüfen, die auf dem [Java-Deserialization-Cheat-Sheet](https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet#genson-json) angegeben sind.\
Sie könnten auch [**gadgetinspector**](https://github.com/JackOfMostTrades/gadgetinspector) verwenden, um nach möglichen Gadget-Ketten zu suchen, die ausgenutzt werden können.\
Beim Ausführen von **gadgetinspector** (nach dem Erstellen) sollten Sie sich nicht um die Vielzahl von Warnungen/Fehlern kümmern, die angezeigt werden, sondern es einfach durchlaufen lassen. Es wird alle Ergebnisse unter _gadgetinspector/gadget-results/gadget-chains-Jahr-Monat-Tag-Stunde-Minute.txt_ speichern. Bitte beachten Sie, dass **gadgetinspector keinen Exploit erstellt und möglicherweise falsche positive Ergebnisse anzeigt**.
Mit der Burp-Erweiterung [**gadgetprobe**](java-dns-deserialization-and-gadgetprobe.md) können Sie **feststellen, welche Bibliotheken verfügbar sind** (und sogar die Versionen). Mit diesen Informationen könnte es **einfacher sein, ein Payload auszuwählen**, um die Schwachstelle auszunutzen.\
Mit der Burp-Erweiterung [**Java Deserialization Scanner**](java-dns-deserialization-and-gadgetprobe.md#java-deserialization-scanner) können Sie **anfällige Bibliotheken identifizieren**, die mit ysoserial ausgenutzt und **ausgenutzt** werden können.\
Sie können auch [**Freddy**](https://github.com/nccgroup/freddy) verwenden, um Schwachstellen bei **Deserialisierungen** in **Burp** zu erkennen. Dieses Plugin erkennt Schwachstellen, die nicht nur mit **`ObjectInputStream`** zusammenhängen, sondern auch Schwachstellen von **Json**- und **Yml**-Deserialisierungsbibliotheken. Im aktiven Modus wird versucht, diese mit Sleep- oder DNS-Payloads zu bestätigen.\
[**Weitere Informationen zu Freddy finden Sie hier.**](https://www.nccgroup.com/us/about-us/newsroom-and-events/blog/2018/june/finding-deserialisation-issues-has-never-been-easier-freddy-the-serialisation-killer/)
Es geht nicht nur darum zu überprüfen, ob der Server eine verwundbare Bibliothek verwendet. Manchmal könnten Sie in der Lage sein, **die Daten innerhalb des serialisierten Objekts zu ändern und einige Überprüfungen zu umgehen** (vielleicht erhalten Sie Administratorrechte in einer Webanwendung).\
Wenn Sie ein Java-Serialisierungsobjekt finden, das an eine Webanwendung gesendet wird, können Sie [**SerializationDumper**](https://github.com/NickstaDB/SerializationDumper) verwenden, um das serialisierte Objekt, das gesendet wird, in einem menschenlesbaren Format auszugeben. Es wäre einfacher zu wissen, welche Daten Sie senden, um sie zu ändern und einige Überprüfungen zu umgehen.
Das Hauptwerkzeug zum Ausnutzen von Java-Deserialisierungen ist [**ysoserial**](https://github.com/frohoff/ysoserial) ([**hier herunterladen**](https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar)). Sie können auch in Betracht ziehen, [**ysoseral-modified**](https://github.com/pimps/ysoserial-modified) zu verwenden, mit dem Sie komplexe Befehle (zum Beispiel mit Pipes) verwenden können.\
Beachten Sie, dass dieses Tool darauf ausgerichtet ist, **`ObjectInputStream`** auszunutzen.\
Ich würde empfehlen, zunächst den "URLDNS"-Payload zu verwenden, **bevor Sie einen RCE**-Payload verwenden, um zu testen, ob die Injektion möglich ist. Beachten Sie jedoch, dass der "URLDNS"-Payload möglicherweise nicht funktioniert, aber ein anderer RCE-Payload schon.
Bei der Erstellung eines Payloads für **java.lang.Runtime.exec()** können Sie **keine Sonderzeichen** wie ">" oder "|" verwenden, um die Ausgabe einer Ausführung umzuleiten, "$()" um Befehle auszuführen oder sogar **Argumente** an einen Befehl zu übergeben, die durch **Leerzeichen** getrennt sind (Sie können `echo -n "hello world"` ausführen, aber nicht `python2 -c 'print "Hello world"'`). Um den Payload korrekt zu codieren, könnten Sie [diese Webseite verwenden](http://www.jackson-t.ca/runtime-exec-payloads.html).
Verwenden Sie das folgende Skript, um **alle möglichen Codeausführungs**-Payloads für Windows und Linux zu erstellen und testen Sie sie dann auf der anfälligen Webseite:
Sie können [**https://github.com/pwntester/SerialKillerBypassGadgetCollection**](https://github.com/pwntester/SerialKillerBypassGadgetCollection) zusammen mit ysoserial verwenden, um mehr Exploits zu erstellen. Weitere Informationen zu diesem Tool finden Sie in den **Folien des Vortrags**, in dem das Tool vorgestellt wurde: [https://es.slideshare.net/codewhitesec/java-deserialization-vulnerabilities-the-forgotten-bug-class?next\_slideshow=1](https://es.slideshare.net/codewhitesec/java-deserialization-vulnerabilities-the-forgotten-bug-class?next\_slideshow=1)
[**marshalsec**](https://github.com/mbechler/marshalsec) kann verwendet werden, um Payloads zu generieren, um verschiedene Json- und Yml-Serialisierungsbibliotheken in Java zu exploitieren.\
Erfahren Sie mehr über diese Java JSON-Bibliothek: [https://www.alphabot.com/security/blog/2020/java/Fastjson-exceptional-deserialization-vulnerabilities.html](https://www.alphabot.com/security/blog/2020/java/Fastjson-exceptional-deserialization-vulnerabilities.html)
* Wenn Sie einige ysoserial-Payloads testen möchten, können Sie **diese Webanwendung ausführen**: [https://github.com/hvqzao/java-deserialize-webapp](https://github.com/hvqzao/java-deserialize-webapp)
* **HTTP-Anfragen**: Serialisierung wird weit verbreitet in der Verwaltung von Parametern, ViewState, Cookies usw. eingesetzt.
* **RMI (Remote Method Invocation)**: Das Java RMI-Protokoll, das ausschließlich auf Serialisierung beruht, ist ein Eckpfeiler für die Remote-Kommunikation in Java-Anwendungen.
* **RMI über HTTP**: Diese Methode wird häufig von Java-basierten Thick-Client-Webanwendungen verwendet, die Serialisierung für alle Objektkommunikationen nutzen.
* **JMX (Java Management Extensions)**: JMX verwendet Serialisierung zum Übertragen von Objekten über das Netzwerk.
* **Benutzerdefinierte Protokolle**: In Java erfolgt die Übertragung von Roh-Java-Objekten nach Standardpraxis, was in bevorstehenden Exploit-Beispielen demonstriert wird.
Eine Klasse, die `Serializable` implementiert, kann jedes Objekt innerhalb der Klasse als `transient` implementieren, das nicht serialisierbar sein sollte. Zum Beispiel:
In Szenarien, in denen bestimmte **Objekte das `Serializable`-Interface implementieren müssen** aufgrund der Klassenhierarchie, besteht das Risiko einer unbeabsichtigten Deserialisierung. Um dies zu verhindern, stellen Sie sicher, dass diese Objekte nicht deserialisierbar sind, indem Sie eine `final``readObject()`-Methode definieren, die konsequent eine Ausnahme wirft, wie unten gezeigt:
Die Anpassung von `java.io.ObjectInputStream` ist ein praktischer Ansatz zur Absicherung von Deserialisierungsprozessen. Diese Methode ist geeignet, wenn:
Überschreiben Sie die Methode **`resolveClass()`**, um die Deserialisierung nur auf erlaubte Klassen zu beschränken. Dadurch wird die Deserialisierung jeder Klasse außer denen, die explizit zugelassen sind, verhindert, wie im folgenden Beispiel, das die Deserialisierung nur auf die Klasse `Bicycle` beschränkt:
**Die Verwendung eines Java-Agents zur Sicherheitsverbesserung** bietet eine alternative Lösung, wenn eine Code-Änderung nicht möglich ist. Diese Methode gilt hauptsächlich für **das Blacklisting schädlicher Klassen**, unter Verwendung eines JVM-Parameters:
Es bietet eine Möglichkeit, die Deserialisierung dynamisch abzusichern, ideal für Umgebungen, in denen sofortige Code-Änderungen nicht praktikabel sind.
**Implementierung von Serialisierungsfiltern**: Java 9 führte Serialisierungsfilter über das **`ObjectInputFilter`**-Interface ein, das einen leistungsstarken Mechanismus zur Spezifizierung von Kriterien bietet, die serialisierte Objekte erfüllen müssen, bevor sie deserialisiert werden. Diese Filter können global oder pro Stream angewendet werden und bieten eine granulare Kontrolle über den Deserialisierungsprozess.
Um Serialisierungsfilter zu nutzen, können Sie einen globalen Filter festlegen, der für alle Deserialisierungsvorgänge gilt, oder ihn dynamisch für bestimmte Streams konfigurieren. Zum Beispiel:
**Nutzung externer Bibliotheken zur Verbesserung der Sicherheit**: Bibliotheken wie **NotSoSerial**, **jdeserialize** und **Kryo** bieten erweiterte Funktionen zur Steuerung und Überwachung der Java-Deserialisierung. Diese Bibliotheken können zusätzliche Sicherheitsebenen bieten, wie das Whitelisting oder Blacklisting von Klassen, die Analyse serialisierter Objekte vor der Deserialisierung und die Implementierung benutzerdefinierter Serialisierungsstrategien.
* **NotSoSerial** unterbricht Deserialisierungsprozesse, um die Ausführung nicht vertrauenswürdigen Codes zu verhindern.
* **jdeserialize** ermöglicht die Analyse serialisierter Java-Objekte, ohne sie zu deserialisieren, um potenziell bösartige Inhalte zu identifizieren.
* **Kryo** ist ein alternatives Serialisierungsframework, das Geschwindigkeit und Effizienz betont und konfigurierbare Serialisierungsstrategien bietet, die die Sicherheit verbessern können.
* Vortrag über gadgetinspector: [https://www.youtube.com/watch?v=wPbW6zQ52w8](https://www.youtube.com/watch?v=wPbW6zQ52w8) und Folien: [https://i.blackhat.com/us-18/Thu-August-9/us-18-Haken-Automated-Discovery-of-Deserialization-Gadget-Chains.pdf](https://i.blackhat.com/us-18/Thu-August-9/us-18-Haken-Automated-Discovery-of-Deserialization-Gadget-Chains.pdf)
Erfahren Sie, was **JNDI Injection ist, wie man sie über RMI, CORBA & LDAP missbrauchen kann und wie man log4shell ausnutzt** (und ein Beispiel für diese Schwachstelle) auf der folgenden Seite:
> Die **Java Message Service** (**JMS**) API ist eine Java message-orientierte Middleware-API zum Senden von Nachrichten zwischen zwei oder mehr Clients. Es handelt sich um eine Implementierung zur Behandlung des Produzenten-Verbraucher-Problems. JMS ist ein Teil der Java Platform, Enterprise Edition (Java EE) und wurde von einer bei Sun Microsystems entwickelten Spezifikation definiert, die jedoch seitdem vom Java Community Process geleitet wird. Es handelt sich um einen Messaging-Standard, der es Anwendungskomponenten auf Basis von Java EE ermöglicht, Nachrichten zu erstellen, zu senden, zu empfangen und zu lesen. Er ermöglicht die Kommunikation zwischen verschiedenen Komponenten einer verteilten Anwendung, die lose gekoppelt, zuverlässig und asynchron ist. (Von [Wikipedia](https://en.wikipedia.org/wiki/Java\_Message\_Service)).
Also, im Grunde gibt es eine **Reihe von Diensten, die JMS auf gefährliche Weise verwenden**. Daher, wenn Sie **ausreichende Berechtigungen** haben, um Nachrichten an diese Dienste zu senden (normalerweise benötigen Sie gültige Anmeldeinformationen), könnten Sie in der Lage sein, **bösartige Objekte serialisiert zu senden, die vom Verbraucher/Abonnenten deserialisiert werden**.\
Das bedeutet, dass in dieser Ausnutzung alle **Clients, die diese Nachricht verwenden, infiziert werden**.
Sie sollten daran denken, dass selbst wenn ein Dienst anfällig ist (weil er Benutzereingaben unsicher deserialisiert), Sie immer noch gültige Gadgets finden müssen, um die Schwachstelle auszunutzen.
Das Tool [JMET](https://github.com/matthiaskaiser/jmet) wurde erstellt, um **diese Dienste zu verbinden und anzugreifen, indem mehrere bösartige Objekte serialisiert werden, die bekannte Gadgets verwenden**. Diese Exploits funktionieren, wenn der Dienst immer noch anfällig ist und wenn eines der verwendeten Gadgets in der anfälligen Anwendung vorhanden ist.
Im Kontext von .Net funktionieren Deserialisierungs-Exploits ähnlich wie in Java, wo Gadgets ausgenutzt werden, um während der Deserialisierung eines Objekts spezifischen Code auszuführen.
Die Suche sollte auf den Base64-codierten String **AAEAAAD/////** oder ein ähnliches Muster abzielen, das auf der Serverseite deserialisiert werden könnte und die Kontrolle über den zu deserialisierenden Typ ermöglicht. Dies könnte **JSON**- oder **XML**-Strukturen umfassen, die `TypeObject` oder `$type` enthalten.
In diesem Fall können Sie das Tool [**ysoserial.net**](https://github.com/pwntester/ysoserial.net) verwenden, um **die Deserialisierungs-Exploits zu erstellen**. Nachdem Sie das Git-Repository heruntergeladen haben, sollten Sie das Tool z. B. mit Visual Studio **kompilieren**.
Wenn Sie mehr darüber erfahren möchten, **wie ysoserial.net seinen Exploit erstellt**, können Sie [**diese Seite überprüfen, auf der der ObjectDataProvider-Gadget + ExpandedWrapper + Json.Net-Formatter erklärt wird**](basic-.net-deserialization-objectdataprovider-gadgets-expandedwrapper-and-json.net.md).
* **`--gadget`** wird verwendet, um den Gadget anzugeben, der missbraucht werden soll (geben Sie die Klasse/Funktion an, die während der Deserialisierung missbraucht wird, um Befehle auszuführen).
* **`--formatter`**, wird verwendet, um die Methode anzugeben, mit der der Exploit serialisiert wird (Sie müssen wissen, welche Bibliothek das Backend verwendet, um die Nutzlast zu deserialisieren, und dieselbe zum Serialisieren verwenden)
* **`--output`** wird verwendet, um anzugeben, ob Sie den Exploit im **rohen** oder **Base64**-Format möchten. _Beachten Sie, dass **ysoserial.net** die Nutzlast mit **UTF-16LE** codiert (die standardmäßige Codierung unter Windows), sodass Sie bei Verwendung des rohen Formats und der Codierung von einer Linux-Konsole aus möglicherweise auf **Codierungskompatibilitätsprobleme** stoßen, die verhindern, dass der Exploit ordnungsgemäß funktioniert (im HTB JSON-Box funktionierte die Nutzlast sowohl in UTF-16LE als auch in ASCII, aber das bedeutet nicht, dass es immer funktionieren wird)._
* **`--plugin`** ysoserial.net unterstützt Plugins zum Erstellen von **Exploits für spezifische Frameworks** wie ViewState
*`--raf -f Json.Net -c "anything"` Dies gibt alle Gadgets an, die mit einem bereitgestellten Formatter verwendet werden können (`Json.Net` in diesem Fall)
*`--sf xml` Sie können ein Gadget angeben (`-g`) und ysoserial.net wird nach Formatierern suchen, die "xml" enthalten (Groß-/Kleinschreibung wird nicht beachtet)
**ysoserial.net** hat auch einen **sehr interessanten Parameter**, der dabei hilft, besser zu verstehen, wie jeder Exploit funktioniert: `--test`\
Wenn Sie diesen Parameter angeben, wird **ysoserial.net** den **Exploit lokal ausführen**, damit Sie testen können, ob Ihr Payload korrekt funktioniert.\
Dieser Parameter ist hilfreich, weil Sie beim Überprüfen des Codes Codeabschnitte wie den folgenden finden werden (aus [ObjectDataProviderGenerator.cs](https://github.com/pwntester/ysoserial.net/blob/c53bd83a45fb17eae60ecc82f7147b5c04b07e42/ysoserial/Generators/ObjectDataProviderGenerator.cs#L208)):
Das bedeutet, dass der Code zum Testen des Exploits [serializersHelper.JsonNet\_deserialize](https://github.com/pwntester/ysoserial.net/blob/c53bd83a45fb17eae60ecc82f7147b5c04b07e42/ysoserial/Helpers/SerializersHelper.cs#L539) aufrufen wird.
Der **vorherige Code ist anfällig für den erstellten Exploit**. Wenn Sie also etwas Ähnliches in einer .Net-Anwendung finden, bedeutet dies wahrscheinlich, dass diese Anwendung auch anfällig ist.\
Daher ermöglicht uns der **`--test`**-Parameter zu verstehen, **welche Codeabschnitte anfällig sind** für den Deserialisierungs-Exploit, den **ysoserial.net** erstellen kann.
Werfen Sie einen Blick auf [diesen POST über **wie man versucht, den \_\_ViewState-Parameter von .Net zu exploitieren**](exploiting-\_\_viewstate-parameter.md) um **beliebigen Code auszuführen**. Wenn Sie **die Geheimnisse bereits kennen**, die von der Opfermaschine verwendet werden, [**lesen Sie diesen Beitrag, um Code auszuführen**](exploiting-\_\_viewstate-knowing-the-secret.md)**.**
* **Vermeiden Sie es, Datenströme ihre Objekttypen definieren zu lassen.** Verwenden Sie `DataContractSerializer` oder `XmlSerializer`, wenn möglich.
* **Für `JSON.Net` setzen Sie `TypeNameHandling` auf `None`:** %%%TypeNameHandling = TypeNameHandling.None%%%
* **Verwenden Sie `JavaScriptSerializer` nicht mit einem `JavaScriptTypeResolver`.**
* **Beschränken Sie die Typen, die deserialisiert werden können**, und verstehen Sie die inhärenten Risiken bei .Net-Typen wie `System.IO.FileInfo`, die die Eigenschaften von Serverdateien ändern können und möglicherweise zu Denial-of-Service-Angriffen führen.
* **Seien Sie vorsichtig bei Typen mit riskanten Eigenschaften**, wie `System.ComponentModel.DataAnnotations.ValidationException` mit ihrer `Value`-Eigenschaft, die ausgenutzt werden kann.
* **Kontrollieren Sie die sichere Typinstanziierung**, um zu verhindern, dass Angreifer den Deserialisierungsprozess beeinflussen, was selbst `DataContractSerializer` oder `XmlSerializer` angreifbar machen könnte.
* **Implementieren Sie Whitelist-Steuerungen**, indem Sie einen benutzerdefinierten `SerializationBinder` für `BinaryFormatter` und `JSON.Net` verwenden.
* **Bleiben Sie über bekannte unsichere Deserialisierungsgadgets** in .Net informiert und stellen Sie sicher, dass Deserialisierer solche Typen nicht instanziieren.
* **Isolieren Sie potenziell riskanten Code** von Code mit Internetzugriff, um bekannte Gadgets wie `System.Windows.Data.ObjectDataProvider` in WPF-Anwendungen nicht unvertrauten Datenquellen auszusetzen.
* Java- und .Net-JSON-Deserialisierungs-**Dokumentation:** [**https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf**](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf)**,** Vortrag: [https://www.youtube.com/watch?v=oUAeWhW5b8c](https://www.youtube.com/watch?v=oUAeWhW5b8c) und Folien: [https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf)
In Ruby wird die Serialisierung durch zwei Methoden in der **marshal**-Bibliothek erleichtert. Die erste Methode, bekannt als **dump**, wird verwendet, um ein Objekt in einen Byte-Stream zu transformieren. Dieser Prozess wird als Serialisierung bezeichnet. Die zweite Methode, **load**, wird hingegen verwendet, um einen Byte-Stream wieder in ein Objekt zurückzuverwandeln, ein Prozess, der als Deserialisierung bekannt ist.
Zur Sicherung serialisierter Objekte verwendet **Ruby HMAC (Hash-Based Message Authentication Code)**, um die Integrität und Authentizität der Daten zu gewährleisten. Der für diesen Zweck verwendete Schlüssel wird an einem von mehreren möglichen Orten gespeichert:
Andere RCE-Kette zur Ausnutzung von Ruby On Rails: [https://codeclimate.com/blog/rails-remote-code-execution-vulnerability-explained/](https://codeclimate.com/blog/rails-remote-code-execution-vulnerability-explained/)
