Checklist

Lors d'un TI, si vous avez accès au code :

En PHP :

• Chercher la fonction serialize()

• Chercher la fonction unserialize()

• Chercher des magic fonction et essayer de les appeler en y injectant de manière arbitraire des objets.

Exemple :

On a récupéré le fichier grâce à une backup qui était présente et en ajoutant le ~.

Code du fichier de Backup

On note la présence d'une magic fonction et on va donc faire appel à la Classe Custom qui appellera de manière automatique la fonction __destruct :

Exemple d'injection d'objet

En Java :

• Chercher la méthode readObject() de la classe java.io.Serializable prenant des InputStream en data

Lors d'un TI, si vous n'avez pas accès au code :

En PHP :

Format d'un object serializé :

O:4:"User":2:{s:8:"username";s:6:"carlos";s:7:"isAdmin";b:0;}

Cookie de session sérializé :

• Check si le cookie de session est en base64 et est serializé

  • Si oui alors manipuler la donnée pour former des cookies de session permettant possiblement de génerer des erreurs ou bien élevé ses privilèges.

• Check tout autre données transmise si elle sont sérialisé

Vulnérabilité en PHP de l'opérateur == :

Allez voir la partie Modifying data types

Exploiting insecure deserialization vulnerabilities | Web Security AcademyWebSecAcademy

Exemple

Géneration d'erreur :

Pour génerer des erreurs lors de la deserialization en PHP, il suffit :

• Entrez des caractères spéciaux : ' / "

• Changer le type de données

• Supprimer des champs

En Java :

Format d'un objet serializé

Les objets Java sérialisés commencent toujours par les mêmes octets, qui sont ac ed en hexadécimal et rO0 en Base64.

Gadget Chain :

Trouver une explication :