介绍

Java反序列化的漏洞的发现和披露,在一月前由Gabriel Lawrence和Chris Frohoff 发现了这些严重漏洞,java序列化序列化的对象(见Gabriel Lawrence和Chris Frohoff)中的潜在缺陷,受影响的可能会在各种框架和库的中。然而有许多方法可用于防止被利用。

原来披露的漏洞并未引起太多关注。直到2016年11月,Stephen Breen安全研究员 发现实际在生产 java服务器上可以被利用。

在这篇文章中,我们将不关注如何序列化漏洞的工作,以及如何修复它们,因为已经有很多关于这个主题的文章。相反,今天我们将专注于如何可靠地检测和利用这些漏洞。对于这个漏洞,我们需要知道的是:该漏洞取决于java序列化后序列化的对象。默认的java类负责反序列化 将序列化对象做反序列化,java类试图把对象进行反序列化。故接收到的对象为反序列化操作,即使他们不是预期的类中实例化的;在这种情况下,在反序列化异常出现时,试图把对象实例化。java语言提供了可能,添加自定义类,执行在反序列化操作。

因此,能够实现远程命令执行(RCE)就是要找到一个“链”的对象,一旦反序列化,允许攻击者执行任意的java代码。显然,所选择的对象的类必须在目标系统中被序列化。出于这个原因,通常需要一些“脆弱”的系统利用这个问题。这些库将用于开发的对象,但本身的脆弱性在于java反序列化的对象,而不是用于开发的系统。只移除“脆弱”的库并不完全保护这个问题,因为新的链可以被发现,漏洞可能会触发。

一旦反序列化问题被发现了,ysoserial 工具可用于开发payload。此工具生成自定义开发载体,基于“脆弱”的目标系统中加载的库。在这篇文章中我们将分析如何发现和利用java序列化的漏洞利用Burp Suite插件,我们开发了基于 ysoserial:java序列化扫描器:Java Deserialization Scanner.

安装

java序列化扫描插件有两种安装方法:

1.直接下载在 Extdener-》Bapp Store ,这是最简单的方法来获得插件,但下载的版本可能不是最新的。目前,例如,最新的版本(0.5预发行版)只能从GitHub(见下一个方法)。当发布的版本将发布,我们将提交给BAPP店。

2.从GitHub下载最新发布和手动从Burp Suite扩展标签安装JAR  Extdener-》Extdeners-》Add

检测

对反序列化的漏洞检测并不是一个简单的任务。通过产生的 ysoserial 将其发送到目标应用程序的payload,通常我们可以获得一个java堆栈跟踪(如果幸运的话我们可以发现问题,存在的只是一个脆弱的系统有针对性的)或没有详细的输出

因此,为了可靠地检测漏洞的存在,我们修改 ysoserial 生成java本地sleep 有效载荷代替RCE的有效载荷和我们说这些有效载荷的java反序列化扫描器。这个任务需要使用java本地sleep有效载荷,因为java调用是同步的;执行系统所产生的ysoserial sleep 使用默认的RCE的有效载荷将是无用的,因为他们是异步的,我们将 sleep 命令结束前从服务器得到响应,无论是否存在这个问题。

在插件的最新版本中,我们增加了两个新的方法来进一步提高检测:一个基于DNS和一个CPU。

为了生成java执行本地DNS解析的有效载荷,我们再次修改ysoserial。通常情况下,DNS解析请求是最有可能绕过企业防火墙,因此是一个相当好的检测方法。在一般情况下,定时方法是更可靠和更可取的,但DNS方法可以适合用于 不稳定的系统或高度延迟的网络。感谢Burp Suite Collaborator,这是没有必要有一个DNS插件,一切都可以在Burp Suite工具完成。

CPU检测方法是基于Wouter Coekaerts”serialdos工作:没有任何脆弱的系统检测反序列化问题。有效载荷是基于一个系统对象(java util。HashSet),采用多CPU周期为反序列化任务。SerialDOS是创建一个POC的拒绝服务(DOS)攻击,但通过降低CPU周期需要反序列化它也可以用来作为一种检测方法。这个有效载荷是检测如果应用程序终结点实际上执行java反序列化,如果严格执行白名单的方法很有用。如果检查出阳性结果也有目标应用实施白名单的方式,允许HashSet类java.util包的可能性。在这种情况下,应用程序仍然容易受到DoS攻击(使用serialdos 所有载荷)。

现在,让我们演示如何使用我们的插件进行检测。检测集成在Burp Suite的主动和被动的扫描器。默认情况下,CPU和DNS检查添加到扫描器中,但他们可以禁用插件的配置面板,在部分“自动扫描配置”:

Deserialization Scanner.-》Automatic scanner configurations

为了减少扫描器执行的请求数量,只有在原始请求中存在序列化对象时,才由插件添加的检查执行。有效载荷是相同的编码在原始请求发现编码(例如,如果序列化对象的编码是Base64,利用载体将编码为base64等)。当前支持的编码格式是:

  • Raw
  • BASE64
  • ASCII HEX
  • GZIP
  • BASE64 GZIP

在主动扫描检查时也就是默认不使用CPU检测方法,因为它必须谨慎使用:发送数量巨大的 serialdos 载荷可能仍然在旧的或高负载的系统造成的问题。为了执行检查自定义插入点或使用CPU负载,该插件提供了“Manual Testing”(“手动测试”)选项卡,用户可以在其中选择插入点(目前在同一时间只有一个支持),选择查询类型(DNS,sleep,或CPU),选择优先编码和测试参数。通过选择sleep或DNS检查,插件测试所有支持的脆弱的库,而与CPU检查插件将使用一个库独立的CPU有效载荷。默认情况下,检测到的问题会自动添加到主机的所有问题,但这种行为可以在“配置”选项卡禁用。在同一选项卡中,可以启用详细模式,以便检查结果窗格中的请求及其响应。

测试要求可以手动插入手动测试”或可以从其他Burp Suite标签发送使用打开的鼠标右键菜单:

手动测试工具的配置说明如下图片:

开发

“Exploiting”选项卡提供了一个舒适的界面开发反序列化的漏洞。这个标签使用ysoserial工具生成开发载体,包括产生一个HTTP请求负载。ysoserial作为论据脆弱的图书馆和一个命令,生成一个序列化的对象以二进制形式,可以被发送到在目标系统上执行命令的易受攻击的应用程序(如果目标应用程序是脆弱的)。开发选项卡支持与插件的检测部分相同的编码格式。

现在,让我们演示如何使用我们的插件开发。首先,我们需要打开“Configuration”选项卡并插入路径,我们有一份的ysoserial工具(ysoserial仅需要开发;检测的有效载荷已经包含在插件):

然后,我们看到了手工测试,它可以插入要求手动或把它从其他Burp Suite标签使用打开的鼠标右键菜单。然后用户可以选择插入点(目前在同一时间只有一个支持),将ysoserial命令(ysoserial手册 https://github.com/frohoff/ysoserial),点击“Attack”按钮,根据所需的编码。“Exploiting”工具的配置在下面的图片中解释:

插件提供的界面使开发过程更快更舒适。

这就是全部!该插件的最后一个版本(目前0.5预发行版)可以从GitHub发布页下载。如果您发现任何错误,或者如果你有想法改进请打开GitHub上的一个新问题。

https://github.com/federicodotta/Java-Deserialization-Scanner/releases

相关链接:

  1. https://github.com/federicodotta/Java-Deserialization-Scanner/releases
  2. https://www.slideshare.net/frohoff1/appseccali-2015-marshalling-pickles
  3. https://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/
  4. https://github.com/frohoff/ysoserial
  5. https://portswigger.net/
  6. https://gist.github.com/coekie/a27cc406fc9f3dc7a70d

referer :https://techblog.mediaservice.net/2017/05/reliable-discovery-and-exploitation-of-java-deserialization-vulnerabilities/

点击收藏 | 0 关注 | 0
  • 动动手指,沙发就是你的了!
登录 后跟帖