* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Esta classe tem um comportamento curioso. De acordo com a documentação: "**Dois hosts são considerados equivalentes se ambos os nomes de host puderem ser resolvidos para os mesmos endereços IP**".\
Então, toda vez que um objeto URL chama **qualquer** das funções **`equals`** ou **`hashCode`** uma solicitação **DNS** para obter o endereço IP será **enviada**.
**Chamar** a função **`hashCode`** **de** um objeto **URL** é bastante fácil, é suficiente inserir este objeto dentro de um `HashMap` que será desserializado. Isso ocorre porque **no final** da função **`readObject`** de `HashMap`, este código é executado:
Ele vai **executar** o `putVal` com cada valor dentro do `HashMap`. Mas, mais relevante é a chamada para `hash` com cada valor. Este é o código da função `hash`:
Como você pode observar, ao desserializar um `HashMap`, a função `hash` será executada com cada objeto e durante a execução do `hash`, o `.hashCode()` do objeto será executado. Portanto, se você desserializar um `HashMap` contendo um objeto `URL`, o objeto `URL` executará o `.hashCode()`.
Portanto, essa classe pode ser **abusada** para **lançar** uma **consulta DNS** para **demonstrar** que a **desserialização** é possível, ou até mesmo para **exfiltrar informações** (você pode anexar como subdomínio a saída de uma execução de comando).
Você pode encontrar o [código de payload URLDNS do ysoserial aqui](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). No entanto, apenas para facilitar o entendimento de como codificá-lo, criei meu próprio PoC (com base no do ysoserial):
* Na ideia original, a carga útil de coleções comuns foi alterada para realizar uma consulta DNS, o que era menos confiável do que o método proposto, mas este é o post: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)
**GadgetProbe** tentará descobrir se algumas **classes Java existem** na classe Java do servidor para que você possa saber **se** ele é **vulnerável** a algum exploit conhecido.
**GadgetProbe** usará a mesma **carga útil DNS da seção anterior**, mas **antes** de executar a consulta DNS, ele tentará **desserializar uma classe arbitrária**. Se a **classe arbitrária existir**, a **consulta DNS** será **enviada** e o GadgProbe notará que essa classe existe. Se a **solicitação DNS não for enviada**, isso significa que a **classe arbitrária não foi desserializada** com sucesso, portanto, ela não está presente ou não é **serializável/exploitável**.
Dentro do github, [**GadgetProbe tem algumas listas de palavras**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) com classes Java para serem testadas.
Por padrão, ele **verifica passivamente** todas as solicitações e respostas enviadas **procurando** por **bytes mágicos serializados Java** e apresentará um aviso de vulnerabilidade se algum for encontrado:
Você pode selecionar uma solicitação, clicar com o botão direito e `Enviar solicitação para DS - Teste manual`.\
Em seguida, dentro da guia _Deserialization Scanner_ --> guia _Teste manual_, você pode selecionar o **ponto de inserção**. E **iniciar o teste** (selecione o ataque apropriado dependendo da codificação usada).
Mesmo que isso seja chamado de "teste manual", é bastante **automatizado**. Ele verificará automaticamente se a **desserialização** é **vulnerável** a **qualquer carga útil ysoserial** verificando as bibliotecas presentes no servidor da web e destacará as vulneráveis. Para **verificar** as **bibliotecas vulneráveis**, você pode selecionar para lançar **Javas Sleeps**, **sleeps** via **consumo de CPU** ou usando **DNS**, como mencionado anteriormente.
Depois de identificar uma biblioteca vulnerável, você pode enviar a solicitação para a guia _Explorando_.\
Nesta guia, você deve **selecionar** o **ponto de injeção** novamente, escrever a **biblioteca vulnerável** para a qual deseja criar uma carga útil e o **comando**. Em seguida, basta pressionar o botão de **Ataque** apropriado.
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).