• Je tiens d'abord à vous faire remarquer la chose suivante : Si vous avez été trop long, pour quelque raison que ce soit, à exécuter ce tuto, il se peut que votre cookie (personnel), de votre page Web sur PortSwigger.net, expire. Dans ce cas, on rencontre des erreurs "bizarres" (des pages blanches, ou des "erreurs inattendues")… Dans ce cas-là, pas de panique, il suffit de complètement fermer Burp Suite, et malheureusement, de tout recommencer depuis le début... Ca apprend aussi...
• Vous devez avoir un compte Portswigger.net et vous y connecter.
• Allez a l'adresse :
https://portswigger.net/web-security/de ... ed-objects
• Ouvrez le défi (le lab).
• A ce stade, il est conseillé de définir le target scope, dans [Target] de Burp Suite (voir les tutos précédents)
• Connectez-vous avec les identifiants wiener:peter (dans l'exercice)
• Vous devez alors avoir ceci :
- 1.gif (92.78 Kio) Vu 300 fois
o Allez dans [Proxy] --> [HTTP history] (1,2)
o Vous remarquez "/my-account?id=wiener" (3). Cliquez-droit dessus, et dans le menu déroulant, choisissez [Send to Repeater]
o Vous avez ceci :
- 2.gif (137.11 Kio) Vu 300 fois
o Dans le [Repeater] (1), vous voyez une zone tout a droite [Inspector] (2). Dans cette zone, cliquez sur la flèche vers le bas de [Request cookies], pour la déplier et voir le cookie en question (3).
o Finalement, cliquez sur la flèche vers la droite, a cote du cookie de cette page (4), pour déplier les actions disponibles.
o Vous devez avoir ceci :
- 3.gif (202.17 Kio) Vu 300 fois
o Vous voyez ici le cookie en question (celui de wiener) (1).
o Ainsi que le cookie décodé de Base64 (2), et finalement, après "admin", il y a marqué "b:0", ce qui correspond a "boolean:false". C'est cette valeur la qui nous intéresse.
o Ensuite :
- 4.gif (129.12 Kio) Vu 300 fois
o Modifiez le "1" (1), à la fin, a cote du "b:" (1).
o Validez la modification du cookie en cliquant sur [Apply changes] (2).
o Modifiez la requête GET, en la faisant pointer sur "/admin" (3).
o Enfin, cliquez sur {Send] (4), pour vérifier s’il n'y a pas d'erreurs en envoyant la nouvelle page web au serveur.
o On obtient cela :
- 5.gif (104.5 Kio) Vu 300 fois
o Voilà, le serveur répond avec "200 OK". C'est parfait, nous avons réussi à dire au serveur que le compte "wiener" est administrateur (pas totalement, mais au moins pour chopper quelques infos...) !
o Il ne reste plus qu'à envoyer la page modifiée par le biais du browser Burp, pour pouvoir accéder à l'interface Admin et trouver comment supprimer le compte "carlos" :
- 6.gif (190.48 Kio) Vu 300 fois
o (1) : cliquez ici pour accéder au menu déroulant,
o (2) : choisissez [Request in browser] --> [In original session]
o Dans la boite de dialogue suivante, cliquez sur [Copy], pour copier l'adresse générer par Burp dans le presse-papier.
o Il reste plus qu'a le copier dans la barre d'adresse du browser Burp, et aller à l'adresse... :
- 7.gif (161.46 Kio) Vu 300 fois
o Cela vous mène à l'adresse de l'interface Admin, pour supprimer les comptes. Remarquez qu'à côté du nom de "carlos" il y a un lien :
- 8.gif (46.03 Kio) Vu 300 fois
o Retrouvez ce lien dans la page authentifiée (la réponse) (dans Burp) :
- 9.gif (78.37 Kio) Vu 300 fois
o Il suffit maintenant, de marquer ce lien, dans la page et envoyer la requête (dans Burp Suite) :
- 10.gif (75.01 Kio) Vu 300 fois
o On obtient alors l'erreur suivante (3) :
- 11.gif (64.26 Kio) Vu 300 fois
o Mais, de suite, la page web du lab est résolue (4) !
• Je tiens d'abord à vous faire remarquer la chose suivante : Si vous avez été trop long, pour quelque raison que ce soit, à exécuter ce tuto, il se peut que votre cookie (personnel), de votre page Web sur PortSwigger.net, expire. Dans ce cas, on rencontre des erreurs "bizarres" (des pages blanches, ou des "erreurs inattendues")… Dans ce cas-là, pas de panique, il suffit de complètement fermer Burp Suite, et malheureusement, de tout recommencer depuis le début... Ca apprend aussi...
• Vous devez avoir un compte Portswigger.net et vous y connecter.
• Allez a l'adresse : https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-modifying-serialized-objects
• Ouvrez le défi (le lab).
• A ce stade, il est conseillé de définir le target scope, dans [Target] de Burp Suite (voir les tutos précédents)
• Connectez-vous avec les identifiants wiener:peter (dans l'exercice)
• Vous devez alors avoir ceci :
[attachment=10]1.gif[/attachment]
o Allez dans [Proxy] --> [HTTP history] (1,2)
o Vous remarquez "/my-account?id=wiener" (3). Cliquez-droit dessus, et dans le menu déroulant, choisissez [Send to Repeater]
o Vous avez ceci :
[attachment=9]2.gif[/attachment]
o Dans le [Repeater] (1), vous voyez une zone tout a droite [Inspector] (2). Dans cette zone, cliquez sur la flèche vers le bas de [Request cookies], pour la déplier et voir le cookie en question (3).
o Finalement, cliquez sur la flèche vers la droite, a cote du cookie de cette page (4), pour déplier les actions disponibles.
o Vous devez avoir ceci :
[attachment=8]3.gif[/attachment]
o Vous voyez ici le cookie en question (celui de wiener) (1).
o Ainsi que le cookie décodé de Base64 (2), et finalement, après "admin", il y a marqué "b:0", ce qui correspond a "boolean:false". C'est cette valeur la qui nous intéresse.
o Ensuite :
[attachment=7]4.gif[/attachment]
o Modifiez le "1" (1), à la fin, a cote du "b:" (1).
o Validez la modification du cookie en cliquant sur [Apply changes] (2).
o Modifiez la requête GET, en la faisant pointer sur "/admin" (3).
o Enfin, cliquez sur {Send] (4), pour vérifier s’il n'y a pas d'erreurs en envoyant la nouvelle page web au serveur.
o On obtient cela :
[attachment=6]5.gif[/attachment]
o Voilà, le serveur répond avec "200 OK". C'est parfait, nous avons réussi à dire au serveur que le compte "wiener" est administrateur (pas totalement, mais au moins pour chopper quelques infos...) !
o Il ne reste plus qu'à envoyer la page modifiée par le biais du browser Burp, pour pouvoir accéder à l'interface Admin et trouver comment supprimer le compte "carlos" :
[attachment=5]6.gif[/attachment]
o (1) : cliquez ici pour accéder au menu déroulant,
o (2) : choisissez [Request in browser] --> [In original session]
o Dans la boite de dialogue suivante, cliquez sur [Copy], pour copier l'adresse générer par Burp dans le presse-papier.
o Il reste plus qu'a le copier dans la barre d'adresse du browser Burp, et aller à l'adresse... :
[attachment=4]7.gif[/attachment]
o Cela vous mène à l'adresse de l'interface Admin, pour supprimer les comptes. Remarquez qu'à côté du nom de "carlos" il y a un lien :
[attachment=3]8.gif[/attachment]
o Retrouvez ce lien dans la page authentifiée (la réponse) (dans Burp) :
[attachment=2]9.gif[/attachment]
o Il suffit maintenant, de marquer ce lien, dans la page et envoyer la requête (dans Burp Suite) :
[attachment=1]10.gif[/attachment]
o On obtient alors l'erreur suivante (3) :
[attachment=0]11.gif[/attachment]
o Mais, de suite, la page web du lab est résolue (4) !