Contournement d’authentification via oracle de chiffrement

Authentication bypass via encryption oracle

Lab: Authentication bypass via encryption oracle | Web Security AcademyWebSecAcademy

Description du laboratoire

Ce laboratoire présente une faille logique exposant un oracle de chiffrement côté serveur. En exploitant cette faiblesse, il est possible de forger une valeur chiffrée valide afin de contourner l’authentification, accéder au panneau d’administration et supprimer l’utilisateur carlos.

Identifiants fournis :

Utilisateur : wiener
Mot de passe : peter

Observation initiale

Sur la page de connexion, l’option “stay logged in” est disponible.

Lorsqu’elle est utilisée, une cookie chiffrée en Base64 est générée et stockée côté client.

echo '0HE6oMYJL//S1fLwttqR7WMF3EX4KJmvfFRI53qpVnk=' | base64 -d

�q:�� /�����ڑ�c�E�(��|TH�z�Vy%

Mise en évidence de l’oracle de chiffrement

Lorsqu’un commentaire valide est soumis, aucune réponse particulière n’est observée.

En revanche, si un commentaire provoque une erreur applicative (par exemple une adresse email invalide), le serveur :

renvoie un message d’erreur affiché à l’écran ;

csrf=cFMQUjAyzETtEr8TLsoir7V5p4C3m4ZG&postId=4&comment=test&name=test&email=test&website=https://localhost

génère une nouvelle cookie notification, chiffrée.

Le contenu affiché est par exemple :

Cela montre que :

le serveur déchiffre le contenu de la cookie notification ;

Le serveur agit donc comme un oracle de chiffrement et de déchiffrement.

le texte déchiffré est réinjecté dans la réponse HTML.

En injectant la valeur chiffrée de la cookie “stay logged in” dans la cookie notification, le serveur affiche son contenu en clair.

Le format observé est :

Cela correspond clairement à :

un nom d’utilisateur ;
un timestamp.

Forgery d’une identité administrateur

L’objectif est alors de faire chiffrer par le serveur la chaîne suivante :

administrator:1766913113564

Pour cela, cette valeur est injectée dans le champ vulnérable (commentaire/email invalide), ce qui provoque :

l’affichage du message d’erreur contenant cette chaîne ;

la génération d’une nouvelle cookie notification chiffrée, incluant le texte injecté.

Set-Cookie: notification=VQbs3ex4CbvKjTm0LM5wuZa79pnAzKI9MEsa1O0MbX%2fJpfl9baj6yL3ryxh4u6nyiWHVwxP7%2fVDPyft%2f1qAbbQ%3d%3d; HttpOnly

Identification de l’algorithme de chiffrement

En tronquant arbitrairement la valeur chiffrée, le serveur retourne l’erreur suivante

PTBLGtTtDG1/yaX5fW2o%2bsi968sYeLup8olh1cMT%2b/1Qz8n7f9agG20%3d

Input length must be multiple of 16 when decrypting with padded cipher

Cela indique clairement l’utilisation de AES avec padding, fonctionnant par blocs de 16 octets.

Manipulation des blocs de chiffrement

Le problème rencontré est la présence de caractères de padding invalides en fin de message. Pour y remédier, la chaîne injectée est précédée de caractères de remplissage afin d’aligner correctement les blocs :

xxxxxxxxxadministrator:1766913113564

Une nouvelle cookie chiffrée est alors générée.

VQbs3ex4CbvKjTm0LM5wuZJqwlVboMZ2IzNuiTfVH6iHj9RZUT59d5kGoS64tVE5wWiEfmp6VbJG%2bb%2fNW5%2bblA%3d%3d

En supprimant les deux premiers blocs chiffrés (correspondant au remplissage), il reste uniquement les blocs contenant :

Cette valeur chiffrée finale est acceptée par le serveur.

h4/UWVE%2bfXeZBqEuuLVROcFohH5qelWyRvm/zVufm5Q%3d

Contournement de l’authentification

Étapes finales :

Supprimer la cookie de session existante.
Remplacer la valeur de la cookie “stay logged in” par la valeur chiffrée forgée.
Rafraîchir la page.

Mis à jour il y a 2 mois

hashtagAuthentication bypass via encryption oracle

hashtagMise en évidence de l’oracle de chiffrement

hashtagCorrélation avec la cookie “stay logged in”

hashtagForgery d’une identité administrateur

hashtagIdentification de l’algorithme de chiffrement

hashtagManipulation des blocs de chiffrement

hashtagDécoupage et recomposition de la cookie

hashtagContournement de l’authentification