• Je tiens d'abord à vous faire remarquer la chose suivante : Si vous avez été trop long, pour quelque raison que ce soit, à exécuter ce tuto, il se peut que votre cookie (personnel), de votre page Web sur PortSwigger.net, expire. Dans ce cas, on rencontre des erreurs "bizarres" (des pages blanches, ou des "erreurs inattendues")… Dans ce cas-là, pas de panique, il suffit de complètement fermer Burp Suite, et malheureusement, de tout recommencer depuis le début... Ca apprend aussi...
• Vous devez avoir un compte Portswigger.net et vous y connecter.
• Allez a l'adresse :
https://portswigger.net/web-security/de ... ed-objects
• Ouvrez le défi (le lab).
• A ce stade, il est conseillé de définir le target scope, dans [Target] de Burp Suite (voir les tutos précédents)
• Connectez-vous avec les identifiants wiener:peter (dans l'exercice)
• Vous devez alors avoir ceci :
- 1.gif (92.78 KiB) Viewed 122 times
o Allez dans [Proxy] --> [HTTP history] (1,2)
o Vous remarquez "/my-account?id=wiener" (3). Cliquez-droit dessus, et dans le menu déroulant, choisissez [Send to Repeater]
o Vous avez ceci :
- 2.gif (137.11 KiB) Viewed 122 times
o Dans le [Repeater] (1), vous voyez une zone tout a droite [Inspector] (2). Dans cette zone, cliquez sur la flèche vers le bas de [Request cookies], pour la déplier et voir le cookie en question (3).
o Finalement, cliquez sur la flèche vers la droite, a cote du cookie de cette page (4), pour déplier les actions disponibles.
o Vous devez avoir ceci :
- 3.gif (202.17 KiB) Viewed 122 times
o Vous voyez ici le cookie en question (celui de wiener) (1).
o Ainsi que le cookie décodé de Base64 (2), et finalement, après "admin", il y a marqué "b:0", ce qui correspond a "boolean:false". C'est cette valeur la qui nous intéresse.
o Ensuite :
- 4.gif (129.12 KiB) Viewed 122 times
o Modifiez le "1" (1), à la fin, a cote du "b:" (1).
o Validez la modification du cookie en cliquant sur [Apply changes] (2).
o Modifiez la requête GET, en la faisant pointer sur "/admin" (3).
o Enfin, cliquez sur {Send] (4), pour vérifier s’il n'y a pas d'erreurs en envoyant la nouvelle page web au serveur.
o On obtient cela :
- 5.gif (104.5 KiB) Viewed 122 times
o Voilà, le serveur répond avec "200 OK". C'est parfait, nous avons réussi à dire au serveur que le compte "wiener" est administrateur (pas totalement, mais au moins pour chopper quelques infos...) !
o Il ne reste plus qu'à envoyer la page modifiée par le biais du browser Burp, pour pouvoir accéder à l'interface Admin et trouver comment supprimer le compte "carlos" :
- 6.gif (190.48 KiB) Viewed 122 times
o (1) : cliquez ici pour accéder au menu déroulant,
o (2) : choisissez [Request in browser] --> [In original session]
o Dans la boite de dialogue suivante, cliquez sur [Copy], pour copier l'adresse générer par Burp dans le presse-papier.
o Il reste plus qu'a le copier dans la barre d'adresse du browser Burp, et aller à l'adresse... :
- 7.gif (161.46 KiB) Viewed 122 times
o Cela vous mène à l'adresse de l'interface Admin, pour supprimer les comptes. Remarquez qu'à côté du nom de "carlos" il y a un lien :
- 8.gif (46.03 KiB) Viewed 122 times
o Retrouvez ce lien dans la page authentifiée (la réponse) (dans Burp) :
- 9.gif (78.37 KiB) Viewed 122 times
o Il suffit maintenant, de marquer ce lien, dans la page et envoyer la requête (dans Burp Suite) :
- 10.gif (75.01 KiB) Viewed 122 times
o On obtient alors l'erreur suivante (3) :
- 11.gif (64.26 KiB) Viewed 122 times
o Mais, de suite, la page web du lab est résolue (4) !
• Je tiens d'abord à vous faire remarquer la chose suivante : Si vous avez été trop long, pour quelque raison que ce soit, à exécuter ce tuto, il se peut que votre cookie (personnel), de votre page Web sur PortSwigger.net, expire. Dans ce cas, on rencontre des erreurs "bizarres" (des pages blanches, ou des "erreurs inattendues")… Dans ce cas-là, pas de panique, il suffit de complètement fermer Burp Suite, et malheureusement, de tout recommencer depuis le début... Ca apprend aussi...
• Vous devez avoir un compte Portswigger.net et vous y connecter.
• Allez a l'adresse : https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-modifying-serialized-objects
• Ouvrez le défi (le lab).
• A ce stade, il est conseillé de définir le target scope, dans [Target] de Burp Suite (voir les tutos précédents)
• Connectez-vous avec les identifiants wiener:peter (dans l'exercice)
• Vous devez alors avoir ceci :
[attachment=10]1.gif[/attachment]
o Allez dans [Proxy] --> [HTTP history] (1,2)
o Vous remarquez "/my-account?id=wiener" (3). Cliquez-droit dessus, et dans le menu déroulant, choisissez [Send to Repeater]
o Vous avez ceci :
[attachment=9]2.gif[/attachment]
o Dans le [Repeater] (1), vous voyez une zone tout a droite [Inspector] (2). Dans cette zone, cliquez sur la flèche vers le bas de [Request cookies], pour la déplier et voir le cookie en question (3).
o Finalement, cliquez sur la flèche vers la droite, a cote du cookie de cette page (4), pour déplier les actions disponibles.
o Vous devez avoir ceci :
[attachment=8]3.gif[/attachment]
o Vous voyez ici le cookie en question (celui de wiener) (1).
o Ainsi que le cookie décodé de Base64 (2), et finalement, après "admin", il y a marqué "b:0", ce qui correspond a "boolean:false". C'est cette valeur la qui nous intéresse.
o Ensuite :
[attachment=7]4.gif[/attachment]
o Modifiez le "1" (1), à la fin, a cote du "b:" (1).
o Validez la modification du cookie en cliquant sur [Apply changes] (2).
o Modifiez la requête GET, en la faisant pointer sur "/admin" (3).
o Enfin, cliquez sur {Send] (4), pour vérifier s’il n'y a pas d'erreurs en envoyant la nouvelle page web au serveur.
o On obtient cela :
[attachment=6]5.gif[/attachment]
o Voilà, le serveur répond avec "200 OK". C'est parfait, nous avons réussi à dire au serveur que le compte "wiener" est administrateur (pas totalement, mais au moins pour chopper quelques infos...) !
o Il ne reste plus qu'à envoyer la page modifiée par le biais du browser Burp, pour pouvoir accéder à l'interface Admin et trouver comment supprimer le compte "carlos" :
[attachment=5]6.gif[/attachment]
o (1) : cliquez ici pour accéder au menu déroulant,
o (2) : choisissez [Request in browser] --> [In original session]
o Dans la boite de dialogue suivante, cliquez sur [Copy], pour copier l'adresse générer par Burp dans le presse-papier.
o Il reste plus qu'a le copier dans la barre d'adresse du browser Burp, et aller à l'adresse... :
[attachment=4]7.gif[/attachment]
o Cela vous mène à l'adresse de l'interface Admin, pour supprimer les comptes. Remarquez qu'à côté du nom de "carlos" il y a un lien :
[attachment=3]8.gif[/attachment]
o Retrouvez ce lien dans la page authentifiée (la réponse) (dans Burp) :
[attachment=2]9.gif[/attachment]
o Il suffit maintenant, de marquer ce lien, dans la page et envoyer la requête (dans Burp Suite) :
[attachment=1]10.gif[/attachment]
o On obtient alors l'erreur suivante (3) :
[attachment=0]11.gif[/attachment]
o Mais, de suite, la page web du lab est résolue (4) !