<summary><strong>Lernen Sie AWS-Hacking von Grund auf mit</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories senden.
**Serialisierung** wird als die Methode verstanden, ein Objekt in ein Format umzuwandeln, das erhalten bleiben kann, mit dem Ziel, das Objekt entweder zu speichern oder im Rahmen eines Kommunikationsprozesses zu übertragen. Diese Technik wird häufig eingesetzt, um sicherzustellen, dass das Objekt zu einem späteren Zeitpunkt wiederhergestellt werden kann, wobei seine Struktur und sein Zustand erhalten bleiben.
**Deserialisierung** hingegen ist der Prozess, der der Serialisierung entgegenwirkt. Dabei wird strukturierte Daten in einem bestimmten Format genommen und wieder in ein Objekt umgewandelt.
Deserialisierung kann gefährlich sein, da sie potenziell **Angreifern ermöglicht, die serialisierten Daten zu manipulieren, um schädlichen Code auszuführen** oder unerwartetes Verhalten in der Anwendung während des Objektwiederherstellungsprozesses zu verursachen.
*`__sleep`: Wird aufgerufen, wenn ein Objekt serialisiert wird. Diese Methode sollte ein Array mit den Namen aller Eigenschaften des Objekts zurückgeben, die serialisiert werden sollen. Sie wird häufig verwendet, um ausstehende Daten zu übertragen oder ähnliche Aufräumarbeiten durchzuführen.
*`__wakeup`: Wird aufgerufen, wenn ein Objekt deserialisiert wird. Sie wird verwendet, um verlorene Datenbankverbindungen während der Serialisierung wiederherzustellen und andere Initialisierungsaufgaben durchzuführen.
*`__unserialize`: Diese Methode wird anstelle von `__wakeup` aufgerufen (sofern vorhanden), wenn ein Objekt deserialisiert wird. Sie bietet mehr Kontrolle über den Deserialisierungsprozess im Vergleich zu `__wakeup`.
*`__destruct`: Diese Methode wird aufgerufen, wenn ein Objekt kurz vor der Zerstörung steht oder wenn das Skript endet. Sie wird normalerweise für Aufräumarbeiten verwendet, wie das Schließen von Dateihandles oder Datenbankverbindungen.
*`__toString`: Diese Methode ermöglicht es, ein Objekt als Zeichenkette zu behandeln. Sie kann zum Lesen einer Datei oder für andere Aufgaben basierend auf den darin enthaltenen Funktionsaufrufen verwendet werden und liefert effektiv eine textuelle Darstellung des Objekts.
Wenn Sie sich die Ergebnisse ansehen, können Sie sehen, dass die Funktionen **`__wakeup`** und **`__destruct`** aufgerufen werden, wenn das Objekt deserialisiert wird. Beachten Sie, dass in mehreren Tutorials steht, dass die Funktion **`__toString`** aufgerufen wird, wenn versucht wird, ein Attribut zu drucken, aber anscheinend passiert das **nicht mehr**.
Die Methode **`__unserialize(array $data)`** wird **anstelle von `__wakeup()`** aufgerufen, wenn sie in der Klasse implementiert ist. Sie ermöglicht es Ihnen, das Objekt zu deserialisieren, indem Sie die serialisierten Daten als Array bereitstellen. Sie können diese Methode verwenden, um Eigenschaften zu deserialisieren und alle erforderlichen Aufgaben bei der Deserialisierung durchzuführen.
Sie können ein erklärtes **PHP-Beispiel hier lesen**: [https://www.notsosecure.com/remote-code-execution-via-php-unserialize/](https://www.notsosecure.com/remote-code-execution-via-php-unserialize/), hier [https://www.exploit-db.com/docs/english/44756-deserialization-vulnerability.pdf](https://www.exploit-db.com/docs/english/44756-deserialization-vulnerability.pdf) oder hier [https://securitycafe.ro/2015/01/05/understanding-php-object-injection/](https://securitycafe.ro/2015/01/05/understanding-php-object-injection/)
[**PHPGGC**](https://github.com/ambionics/phpggc) kann Ihnen dabei helfen, Payloads zu generieren, um PHP-Deserialisierungen zu missbrauchen.\
Beachten Sie, dass Sie in mehreren Fällen **keine Möglichkeit finden werden, eine Deserialisierung im Quellcode** der Anwendung zu missbrauchen, aber Sie möglicherweise in der Lage sind, den Code von externen PHP-Erweiterungen zu missbrauchen.\
Überprüfen Sie daher, wenn möglich, die `phpinfo()` des Servers und **suchen Sie im Internet** (sogar in den **Gadgets** von **PHPGGC**) nach möglichen Gadgets, die Sie missbrauchen könnten.
Wenn Sie eine LFI gefunden haben, die nur die Datei liest und den darin enthaltenen PHP-Code nicht ausführt, zum Beispiel mit Funktionen wie _**file\_get\_contents(), fopen(), file() oder file\_exists(), md5\_file(), filemtime() oder filesize()**_**.** Sie können versuchen, eine **Deserialisierung** zu missbrauchen, die beim **Lesen** einer **Datei** mit dem **phar**-Protokoll auftritt.\
Weitere Informationen finden Sie in folgendem Beitrag:
Die folgende Seite stellt die Technik vor, eine unsichere Deserialisierung in Python-Bibliotheken für yamls zu **missbrauchen** und schließt mit einem Tool ab, das verwendet werden kann, um RCE-Deserialisierungspayloads für **Pickle, PyYAML, jsonpickle und ruamel.yaml** zu generieren:
JS hat keine "magischen" Funktionen wie PHP oder Python, die nur zur Erstellung eines Objekts ausgeführt werden. Aber es gibt einige Funktionen, die häufig verwendet werden, auch ohne sie direkt aufzurufen, wie **`toString`**, **`valueOf`**, **`toJSON`**.\
Wenn Sie eine Deserialisierung missbrauchen, können Sie diese Funktionen **kompromittieren, um anderen Code auszuführen** (potenziell durch Ausnutzung von Prototypenverschmutzungen), und Sie könnten beliebigen Code ausführen, wenn sie aufgerufen werden.
Eine weitere **"magische" Möglichkeit, eine Funktion aufzurufen**, ohne sie direkt aufzurufen, besteht darin, ein Objekt zu **kompromittieren, das von einer asynchronen Funktion** (Promise) zurückgegeben wird. Denn wenn Sie dieses **Rückgabeobjekt** in ein anderes **Promise** mit einer **Eigenschaft** namens **"then" vom Typ Funktion** umwandeln, wird es **ausgeführt**, nur weil es von einem anderen Promise zurückgegeben wird. _Folgen Sie_ [_**diesem Link**_](https://blog.huli.tw/2022/07/11/en/googlectf-2022-horkos-writeup/) _für weitere Informationen._
Wie Sie im letzten Code-Abschnitt sehen können, wird **wenn die Flagge gefunden wird**`eval` verwendet, um die Funktion zu deserialisieren, sodass im Grunde genommen **Benutzereingaben innerhalb der `eval`-Funktion verwendet werden**.
Jedoch wird **nur das Serialisieren** einer Funktion **sie nicht ausführen**, da es notwendig wäre, dass ein Teil des Codes in unserem Beispiel `y.rce` aufruft, und das ist äußerst **unwahrscheinlich**.\
Wie auch immer, Sie könnten einfach das **serialisierte Objekt modifizieren**, indem Sie einige Klammern hinzufügen, um die serialisierte Funktion automatisch auszuführen, wenn das Objekt deserialisiert wird.\
Im nächsten Code-Abschnitt **beachten Sie die letzten Klammern** und wie die Funktion `unserialize` den Code automatisch ausführen wird:
Wie zuvor angegeben, wird diese Bibliothek den Code nach `_$$ND_FUNC$$_` erhalten und ihn mit `eval`**ausführen**. Um also **Code automatisch auszuführen**, können Sie den Teil der Funktionsdefinition und die letzte Klammer löschen und einfach einen JS-Einzeller ausführen, wie im folgenden Beispiel:
Sie können [**hier**](https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/) **weitere Informationen** darüber finden, wie Sie diese Schwachstelle ausnutzen können.
Ein bemerkenswerter Aspekt von **funcster** ist die Unzugänglichkeit von **Standard-Built-in-Objekten**; sie fallen außerhalb des zugänglichen Bereichs. Diese Einschränkung verhindert die Ausführung von Code, der versucht, Methoden auf eingebauten Objekten aufzurufen, was zu Ausnahmen wie `"ReferenceError: console is not defined"` führt, wenn Befehle wie `console.log()` oder `require(something)` verwendet werden.
Trotz dieser Einschränkung ist es möglich, den vollen Zugriff auf den globalen Kontext, einschließlich aller Standard-Built-in-Objekte, durch einen spezifischen Ansatz wiederherzustellen. Durch direkte Nutzung des globalen Kontexts kann diese Einschränkung umgangen werden. Zum Beispiel kann der Zugriff mithilfe des folgenden Snippets wiederhergestellt werden:
**Für**[ **weitere Informationen lesen Sie diese Quelle**](https://www.acunetix.com/blog/web-security-zone/deserialization-vulnerabilities-attacking-deserialization-in-js/)**.**
Das **serialize-javascript**-Paket ist ausschließlich für Serialisierungszwecke konzipiert und verfügt über keine integrierten Deserialisierungsfunktionen. Benutzer sind dafür verantwortlich, ihre eigene Methode zur Deserialisierung zu implementieren. In dem offiziellen Beispiel zur Deserialisierung von serialisierten Daten wird die direkte Verwendung von `eval` vorgeschlagen:
**Für**[ **weitere Informationen lesen Sie diese Quelle**](https://www.acunetix.com/blog/web-security-zone/deserialization-vulnerabilities-attacking-deserialization-in-js/)**.**
In Java werden **Deserialisierungs-Callbacks während des Deserialisierungsprozesses ausgeführt**. Diese Ausführung kann von Angreifern ausgenutzt werden, die bösartige Payloads erstellen, die diese Callbacks auslösen und potenziell schädliche Aktionen ausführen.
Für Black-Box-Tests suchen Sie nach spezifischen **Signaturen oder "Magic Bytes"**, die auf Java-serialisierte Objekte hinweisen (ausgehend von `ObjectInputStream`):
* HTTP-Antwortheader mit `Content-Type` auf `application/x-java-serialized-object` gesetzt.
* Hexadezimales Muster, das auf vorherige Komprimierung hinweist: `1F 8B 08 00`.
* Base64-Muster, das auf vorherige Komprimierung hinweist: `H4sIA`.
* Webdateien mit der Erweiterung `.faces` und dem Parameter `faces.ViewState`. Das Entdecken dieser Muster in einer Webanwendung sollte zu einer Untersuchung führen, wie in dem [Beitrag über Java JSF ViewState Deserialization](java-jsf-viewstate-.faces-deserialization.md) detailliert beschrieben.
Wenn Sie mehr über die Funktionsweise eines Java Deserialisierungsangriffs erfahren möchten, sollten Sie sich [**Grundlegende Java Deserialisierung**](basic-java-deserialization-objectinputstream-readobject.md), [**Java DNS Deserialisierung**](java-dns-deserialization-and-gadgetprobe.md) und [**CommonsCollection1 Payload**](java-transformers-to-rutime-exec-payload.md) ansehen.
Sie könnten versuchen, **alle bekannten anfälligen Bibliotheken** zu überprüfen, für die [**Ysoserial**](https://github.com/frohoff/ysoserial) einen Exploit bereitstellen kann. Oder Sie könnten die Bibliotheken überprüfen, die auf [Java-Deserialization-Cheat-Sheet](https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet#genson-json) angegeben sind.\
Sie können auch [**gadgetinspector**](https://github.com/JackOfMostTrades/gadgetinspector) verwenden, um nach möglichen Gadget-Ketten zu suchen, die ausgenutzt werden können.\
Wenn Sie **gadgetinspector** ausführen (nachdem Sie es erstellt haben), kümmern Sie sich nicht um die vielen Warnungen/Fehler, die angezeigt werden, und lassen Sie es fertig werden. Es schreibt alle Ergebnisse unter _gadgetinspector/gadget-results/gadget-chains-Jahr-Monat-Tag-Stunde-Minute.txt_. Beachten Sie bitte, dass **gadgetinspector keinen Exploit erstellt und möglicherweise falsche positive Ergebnisse anzeigt**.
Mit der Burp-Erweiterung [**gadgetprobe**](java-dns-deserialization-and-gadgetprobe.md) können Sie feststellen, **welche Bibliotheken verfügbar sind** (und sogar die Versionen). Mit diesen Informationen könnte es **einfacher sein, eine Payload auszuwählen**, um die Schwachstelle auszunutzen.\
[**Lesen Sie hier mehr über GadgetProbe**](java-dns-deserialization-and-gadgetprobe.md#gadgetprobe)**.**\
GadgetProbe konzentriert sich auf **`ObjectInputStream`-Deserialisierungen**.
Mit der Burp-Erweiterung [**Java Deserialization Scanner**](java-dns-deserialization-and-gadgetprobe.md#java-deserialization-scanner) können Sie **anfällige Bibliotheken identifizieren**, die mit ysoserial ausgenutzt werden können, und sie **ausnutzen**.\
[**Lesen Sie hier mehr über den Java Deserialization Scanner.**](java-dns-deserialization-and-gadgetprobe.md#java-deserialization-scanner)\
Der Java Deserialization Scanner konzentriert sich auf **`ObjectInputStream`**-Deserialisierungen.
Sie können auch [**Freddy**](https://github.com/nccgroup/freddy) verwenden, um Deserialisierungs-Schwachstellen in **Burp** zu erkennen. Dieses Plugin erkennt Schwachstellen, die nicht nur mit **`ObjectInputStream`** zusammenhängen, sondern auch mit Deserialisierungs-Bibliotheken für **Json** und **Yml**. Im aktiven Modus versucht es, diese Schwachstellen mit Sleep- oder DNS-Payloads zu bestätigen.\
[**Weitere Informationen zu Freddy finden Sie hier.**](https://www.nccgroup.com/us/about-us/newsroom-and-events/blog/2018/june/finding-deserialisation-issues-has-never-been-easier-freddy-the-serialisation-killer/)
Es geht nicht nur darum, zu überprüfen, ob der Server eine anfällige Bibliothek verwendet. Manchmal können Sie in der Lage sein, die Daten innerhalb des serialisierten Objekts zu ändern und einige Überprüfungen zu umgehen (vielleicht erhalten Sie Administratorrechte in einer Webanwendung).\
Wenn Sie ein in Java serialisiertes Objekt finden, das an eine Webanwendung gesendet wird, können Sie [**SerializationDumper**](https://github.com/NickstaDB/SerializationDumper) verwenden, um das serialisierte Objekt in einem menschenlesbaren Format auszugeben. Wenn Sie wissen, welche Daten Sie senden, ist es einfacher, sie zu ändern und einige Überprüfungen zu umgehen.
Das Hauptwerkzeug zum Ausnutzen von Java-Deserialisierungen ist [**ysoserial**](https://github.com/frohoff/ysoserial) ([**hier herunterladen**](https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar)). Sie können auch in Betracht ziehen, [**ysoseral-modified**](https://github.com/pimps/ysoserial-modified) zu verwenden, mit dem Sie komplexe Befehle (mit Pipes zum Beispiel) verwenden können.\
Beachten Sie, dass dieses Tool sich auf die Ausnutzung von **`ObjectInputStream`** konzentriert.\
Ich würde damit beginnen, die Payload "URLDNS" zu verwenden, **bevor ich eine RCE-Payload** verwende, um zu testen, ob die Injektion möglich ist. Beachten Sie jedoch, dass die Payload "URLDNS" möglicherweise nicht funktioniert, aber eine andere RCE-Payload funktioniert.
Bei der Erstellung eines Payloads für **java.lang.Runtime.exec()** können **keine Sonderzeichen** wie ">" oder "|" verwendet werden, um die Ausgabe einer Ausführung umzuleiten, "$()" um Befehle auszuführen oder sogar **Argumente** an einen Befehl zu übergeben, die durch **Leerzeichen** getrennt sind (Sie können `echo -n "hello world"` machen, aber Sie können nicht `python2 -c 'print "Hello world"'` machen). Um den Payload korrekt zu kodieren, können Sie [diese Webseite](http://www.jackson-t.ca/runtime-exec-payloads.html) verwenden.
Verwenden Sie gerne das folgende Skript, um **alle möglichen Codeausführungs**-Payloads für Windows und Linux zu erstellen und dann auf der verwundbaren Webseite zu testen:
Sie können [https://github.com/pwntester/SerialKillerBypassGadgetCollection](https://github.com/pwntester/SerialKillerBypassGadgetCollection) zusammen mit ysoserial verwenden, um mehr Exploits zu erstellen. Weitere Informationen zu diesem Tool finden Sie in den Folien des Vortrags, in dem das Tool vorgestellt wurde: [https://es.slideshare.net/codewhitesec/java-deserialization-vulnerabilities-the-forgotten-bug-class?next\_slideshow=1](https://es.slideshare.net/codewhitesec/java-deserialization-vulnerabilities-the-forgotten-bug-class?next\_slideshow=1)
[marshalsec](https://github.com/mbechler/marshalsec) kann verwendet werden, um Payloads zu generieren, um verschiedene Json- und Yml-Serialisierungsbibliotheken in Java zu exploitieren.\
Um das Projekt zu kompilieren, musste ich diese Abhängigkeiten zur `pom.xml` hinzufügen:
Lesen Sie mehr über diese Java JSON-Bibliothek: [https://www.alphabot.com/security/blog/2020/java/Fastjson-exceptional-deserialization-vulnerabilities.html](https://www.alphabot.com/security/blog/2020/java/Fastjson-exceptional-deserialization-vulnerabilities.html)
* Wenn Sie einige ysoserial-Payloads testen möchten, können Sie **diese Webanwendung ausführen**: [https://github.com/hvqzao/java-deserialize-webapp](https://github.com/hvqzao/java-deserialize-webapp)
- **HTTP-Anfragen**: Serialization wird häufig bei der Verwaltung von Parametern, ViewState, Cookies usw. eingesetzt.
- **RMI (Remote Method Invocation)**: Das Java RMI-Protokoll, das ausschließlich auf Serialization basiert, ist ein Eckpfeiler für die Remote-Kommunikation in Java-Anwendungen.
- **RMI über HTTP**: Diese Methode wird häufig von Java-basierten Thick-Client-Webanwendungen verwendet, die Serialization für alle Objektkommunikationen nutzen.
- **JMX (Java Management Extensions)**: JMX verwendet Serialization zum Übertragen von Objekten über das Netzwerk.
- **Benutzerdefinierte Protokolle**: In Java ist es üblich, rohe Java-Objekte zu übertragen, was in den kommenden Beispielen für Exploits demonstriert wird.
Eine Klasse, die `Serializable` implementiert, kann jedes Objekt in der Klasse als `transient` implementieren, das nicht serialisierbar sein sollte. Zum Beispiel:
In Szenarien, in denen bestimmte Objekte aufgrund der Klassenhierarchie das `Serializable`-Interface implementieren müssen, besteht das Risiko einer unbeabsichtigten Deserialisierung. Um dies zu verhindern, stellen Sie sicher, dass diese Objekte nicht deserialisierbar sind, indem Sie eine `final``readObject()`-Methode definieren, die konsequent eine Ausnahme wirft, wie im folgenden Beispiel gezeigt:
Die Anpassung von `java.io.ObjectInputStream` ist ein praktischer Ansatz zur Absicherung von Deserialisierungsprozessen. Diese Methode ist geeignet, wenn:
Überschreiben Sie die Methode **`resolveClass()`**, um die Deserialisierung nur auf erlaubte Klassen zu beschränken. Dadurch wird die Deserialisierung aller Klassen außer denen, die explizit zugelassen sind, verhindert. Im folgenden Beispiel wird die Deserialisierung nur auf die Klasse `Bicycle` beschränkt:
if (!desc.getName().equals(Bicycle.class.getName())) {
throw new InvalidClassException("Unauthorized deserialization attempt", desc.getName());
}
return super.resolveClass(desc);
}
}
```
**Verwendung eines Java-Agents zur Verbesserung der Sicherheit** bietet eine alternative Lösung, wenn eine Code-Änderung nicht möglich ist. Diese Methode gilt hauptsächlich für das **Schwarze-Liste setzen schädlicher Klassen** unter Verwendung eines JVM-Parameters:
Es bietet eine Möglichkeit, die Deserialisierung dynamisch abzusichern, ideal für Umgebungen, in denen sofortige Codeänderungen nicht praktikabel sind.
**Implementierung von Serialisierungsfiltern**: Java 9 führte Serialisierungsfilter über das **`ObjectInputFilter`**-Interface ein, das einen leistungsstarken Mechanismus zur Festlegung von Kriterien bietet, die serialisierte Objekte erfüllen müssen, bevor sie deserialisiert werden können. Diese Filter können global oder pro Stream angewendet werden und bieten eine granulare Kontrolle über den Deserialisierungsprozess.
Um Serialisierungsfilter zu nutzen, können Sie einen globalen Filter festlegen, der für alle Deserialisierungsvorgänge gilt, oder ihn dynamisch für bestimmte Streams konfigurieren. Zum Beispiel:
**Nutzung externer Bibliotheken zur Verbesserung der Sicherheit**: Bibliotheken wie **NotSoSerial**, **jdeserialize** und **Kryo** bieten erweiterte Funktionen zur Kontrolle und Überwachung der Deserialisierung in Java. Diese Bibliotheken können zusätzliche Sicherheitsebenen bieten, wie z.B. das Whitelisting oder Blacklisting von Klassen, die Analyse serialisierter Objekte vor der Deserialisierung und die Implementierung benutzerdefinierter Serialisierungsstrategien.
- **NotSoSerial** unterbricht den Deserialisierungsprozess, um die Ausführung nicht vertrauenswürdigen Codes zu verhindern.
- **jdeserialize** ermöglicht die Analyse serialisierter Java-Objekte, ohne sie zu deserialisieren, um potenziell bösartigen Inhalt zu identifizieren.
- **Kryo** ist ein alternatives Serialisierungsframework, das Geschwindigkeit und Effizienz betont und konfigurierbare Serialisierungsstrategien bietet, die die Sicherheit verbessern können.
* Deserialisierung und ysoserial-Vortrag: [http://frohoff.github.io/appseccali-marshalling-pickles/](http://frohoff.github.io/appseccali-marshalling-pickles/)
* Vortrag über Gadgetinspector: [https://www.youtube.com/watch?v=wPbW6zQ52w8](https://www.youtube.com/watch?v=wPbW6zQ52w8) und Folien: [https://i.blackhat.com/us-18/Thu-August-9/us-18-Haken-Automated-Discovery-of-Deserialization-Gadget-Chains.pdf](https://i.blackhat.com/us-18/Thu-August-9/us-18-Haken-Automated-Discovery-of-Deserialization-Gadget-Chains.pdf)
* Java- und .Net-JSON-Deserialisierungs-Papier: [**https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf**](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf)**,** Vortrag: [https://www.youtube.com/watch?v=oUAeWhW5b8c](https://www.youtube.com/watch?v=oUAeWhW5b8c) und Folien: [https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf)
Erfahren Sie, was **JNDI Injection** ist, wie man es über RMI, CORBA & LDAP missbrauchen kann und wie man **log4shell** ausnutzt (und ein Beispiel für diese Schwachstelle) auf der folgenden Seite:
> Die **Java Message Service** (**JMS**) API ist eine Java message-orientierte Middleware-API zum Senden von Nachrichten zwischen zwei oder mehr Clients. Es handelt sich um eine Implementierung zur Lösung des Produzenten-Konsumenten-Problems. JMS ist Teil der Java Platform, Enterprise Edition (Java EE) und wurde durch eine Spezifikation entwickelt, die bei Sun Microsystems entstanden ist, aber seitdem vom Java Community Process geleitet wird. Es handelt sich um einen Messaging-Standard, der es Anwendungskomponenten auf Basis von Java EE ermöglicht, Nachrichten zu erstellen, zu senden, zu empfangen und zu lesen. Es ermöglicht die Kommunikation zwischen verschiedenen Komponenten einer verteilten Anwendung, die lose gekoppelt, zuverlässig und asynchron ist. (Aus [Wikipedia](https://en.wikipedia.org/wiki/Java\_Message\_Service)).
Im Grunde gibt es eine **Reihe von Diensten, die JMS auf gefährliche Weise verwenden**. Wenn Sie also **ausreichende Berechtigungen** haben, um Nachrichten an diese Dienste zu senden (in der Regel benötigen Sie gültige Anmeldeinformationen), können Sie in der Lage sein, **bösartige Objekte zu senden, die serialisiert werden und vom Verbraucher/Abonnenten deserialisiert werden**.\
Das bedeutet, dass bei dieser Ausnutzung alle **Clients, die diese Nachricht verwenden, infiziert werden**.
Sie sollten bedenken, dass Sie auch bei einem anfälligen Dienst (weil er unsicher Benutzereingaben deserialisiert) immer noch gültige Gadgets finden müssen, um die Schwachstelle auszunutzen.
Das Tool [JMET](https://github.com/matthiaskaiser/jmet) wurde entwickelt, um **diese Dienste zu verbinden und anzugreifen, indem mehrere bösartige Objekte serialisiert und bekannte Gadgets verwendet werden**. Diese Exploits funktionieren, wenn der Dienst immer noch anfällig ist und wenn eines der verwendeten Gadgets in der anfälligen Anwendung vorhanden ist.
Im Kontext von .Net arbeiten Deserialisierungsexploits ähnlich wie in Java, bei denen Gadgets ausgenutzt werden, um während der Deserialisierung eines Objekts bestimmten Code auszuführen.
Die Suche sollte auf den Base64-kodierten String **AAEAAAD/////** oder ein ähnliches Muster abzielen, das auf der Serverseite deserialisiert werden könnte und die Kontrolle über den zu deserialisierenden Typ gewährt. Dies könnte JSON- oder XML-Strukturen umfassen, die `TypeObject` oder `$type` enthalten.
In diesem Fall können Sie das Tool [**ysoserial.net**](https://github.com/pwntester/ysoserial.net) verwenden, um die Deserialisierungs-Exploits zu erstellen. Sobald Sie das Git-Repository heruntergeladen haben, sollten Sie das Tool mit Visual Studio oder einem ähnlichen Programm **kompilieren**.
Wenn Sie erfahren möchten, **wie ysoserial.net seinen Exploit erstellt**, können Sie [**diese Seite überprüfen, auf der der ObjectDataProvider-Gadget + ExpandedWrapper + Json.Net-Formatter erklärt wird**](basic-.net-deserialization-objectdataprovider-gadgets-expandedwrapper-and-json.net.md).
* **`--gadget`** wird verwendet, um das Gadget anzugeben, das ausgenutzt werden soll (geben Sie die Klasse/Funktion an, die während der Deserialisierung missbraucht wird, um Befehle auszuführen).
* **`--formatter`** wird verwendet, um die Methode anzugeben, mit der der Exploit serialisiert wird (Sie müssen wissen, welche Bibliothek vom Backend zum Deserialisieren der Nutzlast verwendet wird und dieselbe zum Serialisieren verwenden).
* **`--output`** wird verwendet, um anzugeben, ob der Exploit im **rohen** oder **Base64-kodierten** Format ausgegeben werden soll. Beachten Sie, dass **ysoserial.net** die Nutzlast mit **UTF-16LE** (Standard-Encoding in Windows) kodiert. Wenn Sie das Rohformat erhalten und es nur von einer Linux-Konsole aus kodieren, können Probleme mit der **Encoding-Kompatibilität** auftreten, die verhindern, dass der Exploit ordnungsgemäß funktioniert (im HTB JSON-Box funktionierte die Nutzlast sowohl in UTF-16LE als auch in ASCII, aber das bedeutet nicht, dass es immer funktioniert).
* **`--plugin`** ysoserial.net unterstützt Plugins, um **Exploits für bestimmte Frameworks** wie ViewState zu erstellen.
*`--minify` liefert eine **kleinere Nutzlast** (falls möglich)
*`--raf -f Json.Net -c "anything"` Hier werden alle Gadgets angezeigt, die mit einem angegebenen Formatter (`Json.Net` in diesem Fall) verwendet werden können.
*`--sf xml` Sie können ein Gadget (`-g`) angeben und ysoserial.net sucht nach Formattern, die "xml" (Groß-/Kleinschreibung wird nicht beachtet) enthalten.
**ysoserial.net** hat auch einen sehr interessanten Parameter, der dabei hilft, besser zu verstehen, wie jeder Exploit funktioniert: `--test`. Wenn du diesen Parameter angibst, wird **ysoserial.net** den Exploit lokal ausprobieren, damit du testen kannst, ob dein Payload korrekt funktioniert. Dieser Parameter ist hilfreich, weil du im Code Codeabschnitte wie den folgenden finden wirst (aus [ObjectDataProviderGenerator.cs](https://github.com/pwntester/ysoserial.net/blob/c53bd83a45fb17eae60ecc82f7147b5c04b07e42/ysoserial/Generators/ObjectDataProviderGenerator.cs#L208)):
Dies bedeutet, dass zum Testen des Exploits der Code [serializersHelper.JsonNet\_deserialize](https://github.com/pwntester/ysoserial.net/blob/c53bd83a45fb17eae60ecc82f7147b5c04b07e42/ysoserial/Helpers/SerializersHelper.cs#L539) aufrufen wird.
Im **vorherigen Code ist anfällig für den erstellten Exploit**. Wenn Sie also etwas Ähnliches in einer .Net-Anwendung finden, bedeutet dies wahrscheinlich, dass diese Anwendung ebenfalls anfällig ist.
Daher ermöglicht uns der Parameter **`--test`**, zu verstehen, **welche Codeabschnitte anfällig** für den Deserialisierungs-Exploit sind, den **ysoserial.net** erstellen kann.
Werfen Sie einen Blick auf [diesen POST über **wie man versucht, den \_\_ViewState-Parameter von .Net zu exploitieren**](exploiting-\_\_viewstate-parameter.md), um **beliebigen Code auszuführen**. Wenn Sie **bereits die Geheimnisse** kennen, die von der Opfermaschine verwendet werden, [**lesen Sie diesen Beitrag, um zu wissen, wie man Code ausführt**](exploiting-\_\_viewstate-knowing-the-secret.md)**.**
- **Vermeiden Sie es, Datenströmen zu erlauben, ihre Objekttypen zu definieren**. Verwenden Sie `DataContractSerializer` oder `XmlSerializer`, wenn möglich.
- **Beschränken Sie die Typen, die deserialisiert werden können**, und verstehen Sie die inhärenten Risiken bei .Net-Typen wie `System.IO.FileInfo`, die die Eigenschaften von Serverdateien ändern können und möglicherweise zu Denial-of-Service-Angriffen führen.
- **Seien Sie vorsichtig bei Typen mit riskanten Eigenschaften**, wie z.B. `System.ComponentModel.DataAnnotations.ValidationException` mit ihrer `Value`-Eigenschaft, die ausgenutzt werden kann.
- **Kontrollieren Sie die sichere Instanziierung von Typen**, um zu verhindern, dass Angreifer den Deserialisierungsprozess beeinflussen und selbst `DataContractSerializer` oder `XmlSerializer` angreifbar machen.
- **Bleiben Sie über bekannte unsichere Deserialisierungsgadgets** in .Net informiert und stellen Sie sicher, dass Deserialisierer solche Typen nicht instanziieren.
- **Isolieren Sie potenziell riskanten Code** von Code mit Internetzugang, um bekannte Gadgets wie `System.Windows.Data.ObjectDataProvider` in WPF-Anwendungen vor nicht vertrauenswürdigen Datenquellen zu schützen.
* Java- und .Net-JSON-Deserialisierungs-**Dokumentation**: [**https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf**](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-JSON-Attacks-wp.pdf)**,** Vortrag: [https://www.youtube.com/watch?v=oUAeWhW5b8c](https://www.youtube.com/watch?v=oUAeWhW5b8c) und Folien: [https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf](https://www.blackhat.com/docs/us-17/thursday/us-17-Munoz-Friday-The-13th-Json-Attacks.pdf)
In Ruby wird die Serialisierung durch zwei Methoden in der **marshal**-Bibliothek erleichtert. Die erste Methode, bekannt als **dump**, wird verwendet, um ein Objekt in einen Byte-Stream zu transformieren. Dieser Vorgang wird als Serialisierung bezeichnet. Umgekehrt wird die zweite Methode, **load**, verwendet, um einen Byte-Stream wieder in ein Objekt umzuwandeln, ein Vorgang, der als Deserialisierung bekannt ist.
Zur Sicherung serialisierter Objekte verwendet **Ruby HMAC (Hash-Based Message Authentication Code)**, um die Integrität und Authentizität der Daten zu gewährleisten. Der für diesen Zweck verwendete Schlüssel wird an einem der möglichen Speicherorte gespeichert:
**Ruby 2.X generische Deserialisierung zu RCE-Gadget-Kette (weitere Informationen unter [https://www.elttam.com/blog/ruby-deserialization/](https://www.elttam.com/blog/ruby-deserialization/))**:
Andere RCE-Kette zur Ausnutzung von Ruby On Rails: [https://codeclimate.com/blog/rails-remote-code-execution-vulnerability-explained/](https://codeclimate.com/blog/rails-remote-code-execution-vulnerability-explained/)
<summary><strong>Lernen Sie AWS-Hacking von Grund auf mit</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) **bei oder folgen** Sie uns auf **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) **und** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **GitHub-Repositories senden.**
