Socks5ClientConnector.java

  1. /*
  2.  * Copyright (C) 2018, Thomas Wolf <thomas.wolf@paranor.ch> and others
  3.  *
  4.  * This program and the accompanying materials are made available under the
  5.  * terms of the Eclipse Distribution License v. 1.0 which is available at
  6.  * https://www.eclipse.org/org/documents/edl-v10.php.
  7.  *
  8.  * SPDX-License-Identifier: BSD-3-Clause
  9.  */
  10. package org.eclipse.jgit.internal.transport.sshd.proxy;

  12. import static java.nio.charset.StandardCharsets.US_ASCII;
  13. import static java.nio.charset.StandardCharsets.UTF_8;
  14. import static java.text.MessageFormat.format;

  16. import java.io.IOException;
  17. import java.net.InetAddress;
  18. import java.net.InetSocketAddress;

  20. import org.apache.sshd.client.session.ClientSession;
  21. import org.apache.sshd.common.io.IoSession;
  22. import org.apache.sshd.common.util.Readable;
  23. import org.apache.sshd.common.util.buffer.Buffer;
  24. import org.apache.sshd.common.util.buffer.BufferUtils;
  25. import org.apache.sshd.common.util.buffer.ByteArrayBuffer;
  26. import org.eclipse.jgit.annotations.NonNull;
  27. import org.eclipse.jgit.internal.transport.sshd.GssApiMechanisms;
  28. import org.eclipse.jgit.internal.transport.sshd.SshdText;
  29. import org.eclipse.jgit.internal.transport.sshd.auth.AuthenticationHandler;
  30. import org.eclipse.jgit.internal.transport.sshd.auth.BasicAuthentication;
  31. import org.eclipse.jgit.internal.transport.sshd.auth.GssApiAuthentication;
  32. import org.eclipse.jgit.transport.SshConstants;
  33. import org.ietf.jgss.GSSContext;

  35. /**
  36.  * A {@link AbstractClientProxyConnector} to connect through a SOCKS5 proxy.
  37.  *
  38.  * @see <a href="https://tools.ietf.org/html/rfc1928">RFC 1928</a>
  39.  */
  40. public class Socks5ClientConnector extends AbstractClientProxyConnector {

  42.     // private static final byte SOCKS_VERSION_4 = 4;
  43.     private static final byte SOCKS_VERSION_5 = 5;

  45.     private static final byte SOCKS_CMD_CONNECT = 1;
  46.     // private static final byte SOCKS5_CMD_BIND = 2;
  47.     // private static final byte SOCKS5_CMD_UDP_ASSOCIATE = 3;

  49.     // Address types

  51.     private static final byte SOCKS_ADDRESS_IPv4 = 1;

  53.     private static final byte SOCKS_ADDRESS_FQDN = 3;

  55.     private static final byte SOCKS_ADDRESS_IPv6 = 4;

  57.     // Reply codes

  59.     private static final byte SOCKS_REPLY_SUCCESS = 0;

  61.     private static final byte SOCKS_REPLY_FAILURE = 1;

  63.     private static final byte SOCKS_REPLY_FORBIDDEN = 2;

  65.     private static final byte SOCKS_REPLY_NETWORK_UNREACHABLE = 3;

  67.     private static final byte SOCKS_REPLY_HOST_UNREACHABLE = 4;

  69.     private static final byte SOCKS_REPLY_CONNECTION_REFUSED = 5;

  71.     private static final byte SOCKS_REPLY_TTL_EXPIRED = 6;

  73.     private static final byte SOCKS_REPLY_COMMAND_UNSUPPORTED = 7;

  75.     private static final byte SOCKS_REPLY_ADDRESS_UNSUPPORTED = 8;

  77.     /**
  78.      * Authentication methods for SOCKS5.
  79.      *
  80.      * @see <a href=
  81.      *      "https://www.iana.org/assignments/socks-methods/socks-methods.xhtml">SOCKS
  82.      *      Methods, IANA.org</a>
  83.      */
  84.     private enum SocksAuthenticationMethod {

  86.         ANONYMOUS(0),
  87.         GSSAPI(1),
  88.         PASSWORD(2),
  89.         // CHALLENGE_HANDSHAKE(3),
  90.         // CHALLENGE_RESPONSE(5),
  91.         // SSL(6),
  92.         // NDS(7),
  93.         // MULTI_AUTH(8),
  94.         // JSON(9),
  95.         NONE_ACCEPTABLE(0xFF);

  97.         private byte value;

  99.         SocksAuthenticationMethod(int value) {
  100.             this.value = (byte) value;
  101.         }

  103.         public byte getValue() {
  104.             return value;
  105.         }
  106.     }

  108.     private enum ProtocolState {
  109.         NONE,

  111.         INIT {
  112.             @Override
  113.             public void handleMessage(Socks5ClientConnector connector,
  114.                     IoSession session, Buffer data) throws Exception {
  115.                 connector.versionCheck(data.getByte());
  116.                 SocksAuthenticationMethod authMethod = connector.getAuthMethod(
  117.                         data.getByte());
  118.                 switch (authMethod) {
  119.                 case ANONYMOUS:
  120.                     connector.sendConnectInfo(session);
  121.                     break;
  122.                 case PASSWORD:
  123.                     connector.doPasswordAuth(session);
  124.                     break;
  125.                 case GSSAPI:
  126.                     connector.doGssApiAuth(session);
  127.                     break;
  128.                 default:
  129.                     throw new IOException(
  130.                             format(SshdText.get().proxyCannotAuthenticate,
  131.                                     connector.proxyAddress));
  132.                 }
  133.             }
  134.         },

  136.         AUTHENTICATING {
  137.             @Override
  138.             public void handleMessage(Socks5ClientConnector connector,
  139.                     IoSession session, Buffer data) throws Exception {
  140.                 connector.authStep(session, data);
  141.             }
  142.         },

  144.         CONNECTING {
  145.             @Override
  146.             public void handleMessage(Socks5ClientConnector connector,
  147.                     IoSession session, Buffer data) throws Exception {
  148.                 // Special case: when GSS-API authentication completes, the
  149.                 // client moves into CONNECTING as soon as the GSS context is
  150.                 // established and sends the connect request. This is per RFC
  151.                 // 1961. But for the server, RFC 1961 says it _should_ send an
  152.                 // empty token even if none generated when its server side
  153.                 // context is established. That means we may actually get an
  154.                 // empty token here. That message is 4 bytes long (and has
  155.                 // content 0x01, 0x01, 0x00, 0x00). We simply skip this message
  156.                 // if we get it here. If the server for whatever reason sends
  157.                 // back a "GSS failed" message (it shouldn't, at this point)
  158.                 // it will be two bytes 0x01 0xFF, which will fail the version
  159.                 // check.
  160.                 if (data.available() != 4) {
  161.                     connector.versionCheck(data.getByte());
  162.                     connector.establishConnection(data);
  163.                 }
  164.             }
  165.         },

  167.         CONNECTED,

  169.         FAILED;

  171.         public void handleMessage(Socks5ClientConnector connector,
  172.                 @SuppressWarnings("unused") IoSession session, Buffer data)
  173.                 throws Exception {
  174.             throw new IOException(
  175.                     format(SshdText.get().proxySocksUnexpectedMessage,
  176.                             connector.proxyAddress, this,
  177.                             BufferUtils.toHex(data.array())));
  178.         }
  179.     }

  181.     private ProtocolState state;

  183.     private AuthenticationHandler<Buffer, Buffer> authenticator;

  185.     private GSSContext context;

  187.     private byte[] authenticationProposals;

  189.     /**
  190.      * Creates a new {@link Socks5ClientConnector}. The connector supports
  191.      * anonymous connections as well as username-password or Kerberos5 (GSS-API)
  192.      * authentication.
  193.      *
  194.      * @param proxyAddress
  195.      *            of the proxy server we're connecting to
  196.      * @param remoteAddress
  197.      *            of the target server to connect to
  198.      */
  199.     public Socks5ClientConnector(@NonNull InetSocketAddress proxyAddress,
  200.             @NonNull InetSocketAddress remoteAddress) {
  201.         this(proxyAddress, remoteAddress, null, null);
  202.     }

  204.     /**
  205.      * Creates a new {@link Socks5ClientConnector}. The connector supports
  206.      * anonymous connections as well as username-password or Kerberos5 (GSS-API)
  207.      * authentication.
  208.      *
  209.      * @param proxyAddress
  210.      *            of the proxy server we're connecting to
  211.      * @param remoteAddress
  212.      *            of the target server to connect to
  213.      * @param proxyUser
  214.      *            to authenticate at the proxy with
  215.      * @param proxyPassword
  216.      *            to authenticate at the proxy with
  217.      */
  218.     public Socks5ClientConnector(@NonNull InetSocketAddress proxyAddress,
  219.             @NonNull InetSocketAddress remoteAddress,
  220.             String proxyUser, char[] proxyPassword) {
  221.         super(proxyAddress, remoteAddress, proxyUser, proxyPassword);
  222.         this.state = ProtocolState.NONE;
  223.     }

  225.     @Override
  226.     public void sendClientProxyMetadata(ClientSession sshSession)
  227.             throws Exception {
  228.         init(sshSession);
  229.         IoSession session = sshSession.getIoSession();
  230.         // Send the initial request
  231.         Buffer buffer = new ByteArrayBuffer(5, false);
  232.         buffer.putByte(SOCKS_VERSION_5);
  233.         context = getGSSContext(remoteAddress);
  234.         authenticationProposals = getAuthenticationProposals();
  235.         buffer.putByte((byte) authenticationProposals.length);
  236.         buffer.putRawBytes(authenticationProposals);
  237.         state = ProtocolState.INIT;
  238.         session.writeBuffer(buffer).verify(getTimeout());
  239.     }

  241.     private byte[] getAuthenticationProposals() {
  242.         byte[] proposals = new byte[3];
  243.         int i = 0;
  244.         proposals[i++] = SocksAuthenticationMethod.ANONYMOUS.getValue();
  245.         proposals[i++] = SocksAuthenticationMethod.PASSWORD.getValue();
  246.         if (context != null) {
  247.             proposals[i++] = SocksAuthenticationMethod.GSSAPI.getValue();
  248.         }
  249.         if (i == proposals.length) {
  250.             return proposals;
  251.         }
  252.         byte[] result = new byte[i];
  253.         System.arraycopy(proposals, 0, result, 0, i);
  254.         return result;
  255.     }

  257.     private void sendConnectInfo(IoSession session) throws Exception {
  258.         GssApiMechanisms.closeContextSilently(context);

  260.         byte[] rawAddress = getRawAddress(remoteAddress);
  261.         byte[] remoteName = null;
  262.         byte type;
  263.         int length = 0;
  264.         if (rawAddress == null) {
  265.             remoteName = remoteAddress.getHostString().getBytes(US_ASCII);
  266.             if (remoteName == null || remoteName.length == 0) {
  267.                 throw new IOException(
  268.                         format(SshdText.get().proxySocksNoRemoteHostName,
  269.                                 remoteAddress));
  270.             } else if (remoteName.length > 255) {
  271.                 // Should not occur; host names must not be longer than 255
  272.                 // US_ASCII characters. Internal error, no translation.
  273.                 throw new IOException(format(
  274.                         "Proxy host name too long for SOCKS (at most 255 characters): {0}", //$NON-NLS-1$
  275.                         remoteAddress.getHostString()));
  276.             }
  277.             type = SOCKS_ADDRESS_FQDN;
  278.             length = remoteName.length + 1;
  279.         } else {
  280.             length = rawAddress.length;
  281.             type = length == 4 ? SOCKS_ADDRESS_IPv4 : SOCKS_ADDRESS_IPv6;
  282.         }
  283.         Buffer buffer = new ByteArrayBuffer(4 + length + 2, false);
  284.         buffer.putByte(SOCKS_VERSION_5);
  285.         buffer.putByte(SOCKS_CMD_CONNECT);
  286.         buffer.putByte((byte) 0); // Reserved
  287.         buffer.putByte(type);
  288.         if (remoteName != null) {
  289.             buffer.putByte((byte) remoteName.length);
  290.             buffer.putRawBytes(remoteName);
  291.         } else {
  292.             buffer.putRawBytes(rawAddress);
  293.         }
  294.         int port = remoteAddress.getPort();
  295.         if (port <= 0) {
  296.             port = SshConstants.SSH_DEFAULT_PORT;
  297.         }
  298.         buffer.putByte((byte) ((port >> 8) & 0xFF));
  299.         buffer.putByte((byte) (port & 0xFF));
  300.         state = ProtocolState.CONNECTING;
  301.         session.writeBuffer(buffer).verify(getTimeout());
  302.     }

  304.     private void doPasswordAuth(IoSession session) throws Exception {
  305.         GssApiMechanisms.closeContextSilently(context);
  306.         authenticator = new SocksBasicAuthentication();
  307.         session.addCloseFutureListener(f -> close());
  308.         startAuth(session);
  309.     }

  311.     private void doGssApiAuth(IoSession session) throws Exception {
  312.         authenticator = new SocksGssApiAuthentication();
  313.         session.addCloseFutureListener(f -> close());
  314.         startAuth(session);
  315.     }

  317.     private void close() {
  318.         AuthenticationHandler<?, ?> handler = authenticator;
  319.         authenticator = null;
  320.         if (handler != null) {
  321.             handler.close();
  322.         }
  323.     }

  325.     private void startAuth(IoSession session) throws Exception {
  326.         Buffer buffer = null;
  327.         try {
  328.             authenticator.setParams(null);
  329.             authenticator.start();
  330.             buffer = authenticator.getToken();
  331.             state = ProtocolState.AUTHENTICATING;
  332.             if (buffer == null) {
  333.                 // Internal error; no translation
  334.                 throw new IOException(
  335.                         "No data for proxy authentication with " //$NON-NLS-1$
  336.                                 + proxyAddress);
  337.             }
  338.             session.writeBuffer(buffer).verify(getTimeout());
  339.         } finally {
  340.             if (buffer != null) {
  341.                 buffer.clear(true);
  342.             }
  343.         }
  344.     }

  346.     private void authStep(IoSession session, Buffer input) throws Exception {
  347.         Buffer buffer = null;
  348.         try {
  349.             authenticator.setParams(input);
  350.             authenticator.process();
  351.             buffer = authenticator.getToken();
  352.             if (buffer != null) {
  353.                 session.writeBuffer(buffer).verify(getTimeout());
  354.             }
  355.         } finally {
  356.             if (buffer != null) {
  357.                 buffer.clear(true);
  358.             }
  359.         }
  360.         if (authenticator.isDone()) {
  361.             sendConnectInfo(session);
  362.         }
  363.     }

  365.     private void establishConnection(Buffer data) throws Exception {
  366.         byte reply = data.getByte();
  367.         switch (reply) {
  368.         case SOCKS_REPLY_SUCCESS:
  369.             state = ProtocolState.CONNECTED;
  370.             setDone(true);
  371.             return;
  372.         case SOCKS_REPLY_FAILURE:
  373.             throw new IOException(format(
  374.                     SshdText.get().proxySocksFailureGeneral, proxyAddress));
  375.         case SOCKS_REPLY_FORBIDDEN:
  376.             throw new IOException(
  377.                     format(SshdText.get().proxySocksFailureForbidden,
  378.                             proxyAddress, remoteAddress));
  379.         case SOCKS_REPLY_NETWORK_UNREACHABLE:
  380.             throw new IOException(
  381.                     format(SshdText.get().proxySocksFailureNetworkUnreachable,
  382.                             proxyAddress, remoteAddress));
  383.         case SOCKS_REPLY_HOST_UNREACHABLE:
  384.             throw new IOException(
  385.                     format(SshdText.get().proxySocksFailureHostUnreachable,
  386.                             proxyAddress, remoteAddress));
  387.         case SOCKS_REPLY_CONNECTION_REFUSED:
  388.             throw new IOException(
  389.                     format(SshdText.get().proxySocksFailureRefused,
  390.                             proxyAddress, remoteAddress));
  391.         case SOCKS_REPLY_TTL_EXPIRED:
  392.             throw new IOException(
  393.                     format(SshdText.get().proxySocksFailureTTL, proxyAddress));
  394.         case SOCKS_REPLY_COMMAND_UNSUPPORTED:
  395.             throw new IOException(
  396.                     format(SshdText.get().proxySocksFailureUnsupportedCommand,
  397.                             proxyAddress));
  398.         case SOCKS_REPLY_ADDRESS_UNSUPPORTED:
  399.             throw new IOException(
  400.                     format(SshdText.get().proxySocksFailureUnsupportedAddress,
  401.                             proxyAddress));
  402.         default:
  403.             throw new IOException(format(
  404.                     SshdText.get().proxySocksFailureUnspecified, proxyAddress));
  405.         }
  406.     }

  408.     @Override
  409.     public void messageReceived(IoSession session, Readable buffer)
  410.             throws Exception {
  411.         try {
  412.             // Dispatch according to protocol state
  413.             ByteArrayBuffer data = new ByteArrayBuffer(buffer.available(),
  414.                     false);
  415.             data.putBuffer(buffer);
  416.             data.compact();
  417.             state.handleMessage(this, session, data);
  418.         } catch (Exception e) {
  419.             state = ProtocolState.FAILED;
  420.             if (authenticator != null) {
  421.                 authenticator.close();
  422.                 authenticator = null;
  423.             }
  424.             try {
  425.                 setDone(false);
  426.             } catch (Exception inner) {
  427.                 e.addSuppressed(inner);
  428.             }
  429.             throw e;
  430.         }
  431.     }

  433.     private void versionCheck(byte version) throws Exception {
  434.         if (version != SOCKS_VERSION_5) {
  435.             throw new IOException(
  436.                     format(SshdText.get().proxySocksUnexpectedVersion,
  437.                             Integer.toString(version & 0xFF)));
  438.         }
  439.     }

  441.     private SocksAuthenticationMethod getAuthMethod(byte value) {
  442.         if (value != SocksAuthenticationMethod.NONE_ACCEPTABLE.getValue()) {
  443.             for (byte proposed : authenticationProposals) {
  444.                 if (proposed == value) {
  445.                     for (SocksAuthenticationMethod method : SocksAuthenticationMethod
  446.                             .values()) {
  447.                         if (method.getValue() == value) {
  448.                             return method;
  449.                         }
  450.                     }
  451.                     break;
  452.                 }
  453.             }
  454.         }
  455.         return SocksAuthenticationMethod.NONE_ACCEPTABLE;
  456.     }

  458.     private static byte[] getRawAddress(@NonNull InetSocketAddress address) {
  459.         InetAddress ipAddress = GssApiMechanisms.resolve(address);
  460.         return ipAddress == null ? null : ipAddress.getAddress();
  461.     }

  463.     private static GSSContext getGSSContext(
  464.             @NonNull InetSocketAddress address) {
  465.         if (!GssApiMechanisms.getSupportedMechanisms()
  466.                 .contains(GssApiMechanisms.KERBEROS_5)) {
  467.             return null;
  468.         }
  469.         return GssApiMechanisms.createContext(GssApiMechanisms.KERBEROS_5,
  470.                 GssApiMechanisms.getCanonicalName(address));
  471.     }

  473.     /**
  474.      * @see <a href="https://tools.ietf.org/html/rfc1929">RFC 1929</a>
  475.      */
  476.     private class SocksBasicAuthentication
  477.             extends BasicAuthentication<Buffer, Buffer> {

  479.         private static final byte SOCKS_BASIC_PROTOCOL_VERSION = 1;

  481.         private static final byte SOCKS_BASIC_AUTH_SUCCESS = 0;

  483.         public SocksBasicAuthentication() {
  484.             super(proxyAddress, proxyUser, proxyPassword);
  485.         }

  487.         @Override
  488.         public void process() throws Exception {
  489.             // Retries impossible. RFC 1929 specifies that the server MUST
  490.             // close the connection if authentication is unsuccessful.
  491.             done = true;
  492.             if (params.getByte() != SOCKS_BASIC_PROTOCOL_VERSION
  493.                     || params.getByte() != SOCKS_BASIC_AUTH_SUCCESS) {
  494.                 throw new IOException(format(
  495.                         SshdText.get().proxySocksAuthenticationFailed, proxy));
  496.             }
  497.         }

  499.         @Override
  500.         protected void askCredentials() {
  501.             super.askCredentials();
  502.             adjustTimeout();
  503.         }

  505.         @Override
  506.         public Buffer getToken() throws IOException {
  507.             if (done) {
  508.                 return null;
  509.             }
  510.             try {
  511.                 byte[] rawUser = user.getBytes(UTF_8);
  512.                 if (rawUser.length > 255) {
  513.                     throw new IOException(format(
  514.                             SshdText.get().proxySocksUsernameTooLong, proxy,
  515.                             Integer.toString(rawUser.length), user));
  516.                 }

  518.                 if (password.length > 255) {
  519.                     throw new IOException(
  520.                             format(SshdText.get().proxySocksPasswordTooLong,
  521.                                     proxy, Integer.toString(password.length)));
  522.                 }
  523.                 ByteArrayBuffer buffer = new ByteArrayBuffer(
  524.                         3 + rawUser.length + password.length, false);
  525.                 buffer.putByte(SOCKS_BASIC_PROTOCOL_VERSION);
  526.                 buffer.putByte((byte) rawUser.length);
  527.                 buffer.putRawBytes(rawUser);
  528.                 buffer.putByte((byte) password.length);
  529.                 buffer.putRawBytes(password);
  530.                 return buffer;
  531.             } finally {
  532.                 clearPassword();
  533.                 done = true;
  534.             }
  535.         }
  536.     }

  538.     /**
  539.      * @see <a href="https://tools.ietf.org/html/rfc1961">RFC 1961</a>
  540.      */
  541.     private class SocksGssApiAuthentication
  542.             extends GssApiAuthentication<Buffer, Buffer> {

  544.         private static final byte SOCKS5_GSSAPI_VERSION = 1;

  546.         private static final byte SOCKS5_GSSAPI_TOKEN = 1;

  548.         private static final int SOCKS5_GSSAPI_FAILURE = 0xFF;

  550.         public SocksGssApiAuthentication() {
  551.             super(proxyAddress);
  552.         }

  554.         @Override
  555.         protected GSSContext createContext() throws Exception {
  556.             return context;
  557.         }

  559.         @Override
  560.         public Buffer getToken() throws Exception {
  561.             if (token == null) {
  562.                 return null;
  563.             }
  564.             Buffer buffer = new ByteArrayBuffer(4 + token.length, false);
  565.             buffer.putByte(SOCKS5_GSSAPI_VERSION);
  566.             buffer.putByte(SOCKS5_GSSAPI_TOKEN);
  567.             buffer.putByte((byte) ((token.length >> 8) & 0xFF));
  568.             buffer.putByte((byte) (token.length & 0xFF));
  569.             buffer.putRawBytes(token);
  570.             return buffer;
  571.         }

  573.         @Override
  574.         protected byte[] extractToken(Buffer input) throws Exception {
  575.             if (context == null) {
  576.                 return null;
  577.             }
  578.             int version = input.getUByte();
  579.             if (version != SOCKS5_GSSAPI_VERSION) {
  580.                 throw new IOException(
  581.                         format(SshdText.get().proxySocksGssApiVersionMismatch,
  582.                                 remoteAddress, Integer.toString(version)));
  583.             }
  584.             int msgType = input.getUByte();
  585.             if (msgType == SOCKS5_GSSAPI_FAILURE) {
  586.                 throw new IOException(format(
  587.                         SshdText.get().proxySocksGssApiFailure, remoteAddress));
  588.             } else if (msgType != SOCKS5_GSSAPI_TOKEN) {
  589.                 throw new IOException(format(
  590.                         SshdText.get().proxySocksGssApiUnknownMessage,
  591.                         remoteAddress, Integer.toHexString(msgType & 0xFF)));
  592.             }
  593.             if (input.available() >= 2) {
  594.                 int length = (input.getUByte() << 8) + input.getUByte();
  595.                 if (input.available() >= length) {
  596.                     byte[] value = new byte[length];
  597.                     if (length > 0) {
  598.                         input.getRawBytes(value);
  599.                     }
  600.                     return value;
  601.                 }
  602.             }
  603.             throw new IOException(
  604.                     format(SshdText.get().proxySocksGssApiMessageTooShort,
  605.                             remoteAddress));
  606.         }
  607.     }
  608. }
Created with JaCoCo 0.8.6.202009150832