{"id":8557,"date":"2024-04-10T11:54:06","date_gmt":"2024-04-10T09:54:06","guid":{"rendered":"https:\/\/www.vaadata.com\/blog\/?p=8557"},"modified":"2024-04-10T11:54:10","modified_gmt":"2024-04-10T09:54:10","slug":"modifier-des-objets-serialises-java-aussi-facilement-quen-json","status":"publish","type":"post","link":"https:\/\/www.vaadata.com\/blog\/fr\/modifier-des-objets-serialises-java-aussi-facilement-quen-json\/","title":{"rendered":"Modifier des objets s\u00e9rialis\u00e9s Java aussi facilement qu’en JSON"},"content":{"rendered":"
\n
\"\"<\/figure>\n<\/div>\n\n\n

Souvent, lorsque nous entendons parler de la s\u00e9rialisation Java, nous trouvons des ressources ou des challenges qui parlent uniquement de g\u00e9n\u00e9rer et d’ex\u00e9cuter des payloads ysoserial<\/a>. <\/p>\n\n\n\n

Dans certaines situations, cela peut fonctionner. Cependant, d\u00e8s qu’un client est conscient de cette possibilit\u00e9, plut\u00f4t que de recourir \u00e0 un format plus s\u00fbr, il pr\u00e9f\u00e8re g\u00e9n\u00e9ralement utiliser \u00e0 une biblioth\u00e8que comme notsoserial<\/a> qui emp\u00eache la d\u00e9s\u00e9rialisation des classes non autoris\u00e9es.<\/p>\n\n\n\n\n\n\n\n

Et si l’on bloque l’utilisation de classes int\u00e9ressantes, nous sommes alors coinc\u00e9s avec une API classique qui utilise des objets s\u00e9rialis\u00e9s Java plut\u00f4t qu’un format plus r\u00e9pandu tel que JSON. <\/p>\n\n\n\n

Cela signifie que nous pouvons effectuer des tests comme nous le ferions avec une API normale, n’est-ce pas ? Techniquement, oui, mais la t\u00e2che n’est pas simple. Les objets JSON peuvent \u00eatre r\u00e9\u00e9crits par des humains et nous pouvons \u00e9galement les lire facilement, ce qui n’est pas le cas des objets s\u00e9rialis\u00e9s Java puisqu’ils sont sous format binaire.<\/p>\n\n\n\n

Analyse d’un objet s\u00e9rialis\u00e9 Java <\/h2>\n\n\n\n

Lors d’un pentest d’application web, nous avons \u00e9t\u00e9 amen\u00e9s \u00e0 analyser un objet s\u00e9rialis\u00e9. Pour ce faire, nous avons opt\u00e9 pour l’utilisation d’outils tels que SerializationDumper<\/a> afin de transformer le flux dans un format verbeux et plus lisible. <\/p>\n\n\n\n

Maintenant que nous pouvons analyser les donn\u00e9es, nous y trouverons peut-\u00eatre une cha\u00eene de caract\u00e8res int\u00e9ressante. L’outil nous permet \u00e9galement de reconstruire le flux \u00e0 partir du format lisible, ce qui signifie que nous pouvons patcher des valeurs \u00e0 l’int\u00e9rieur, c’est g\u00e9nial non ?<\/p>\n\n\n\n

Oui\u2026 mais pas vraiment. En effet, si une application utilise peu de messages s\u00e9rialis\u00e9s, il est possible de faire ce processus manuellement malgr\u00e9 le temps n\u00e9cessaire, parfois long, pour extraire le flux s\u00e9rialis\u00e9, ex\u00e9cuter les outils dessus, reconstruire le flux et l’ins\u00e9rer \u00e0 nouveau dans une requ\u00eate. Cependant, lorsque l’application les utilise pour chaque message, cela devient tr\u00e8s chronophage.<\/p>\n\n\n\n

D\u00e9veloppement d’une extension Burp<\/h2>\n\n\n\n

Pour faciliter notre travail, la premi\u00e8re \u00e9tape est l’automatisation. Nous avons commenc\u00e9 par cr\u00e9er une extension Burp<\/a> qui int\u00e8gre une version modifi\u00e9e de SerializationDumper<\/a>. La version modifi\u00e9e est int\u00e9ressante car elle peut \u00eatre utilis\u00e9e comme une biblioth\u00e8que, ce qui \u00e9vite d’avoir \u00e0 \u00e9crire un wrapper autour d’un programme que nous devons appeler \u00e0 chaque fois que nous voulons faire quelque chose.<\/p>\n\n\n\n

Malheureusement, la version modifi\u00e9e ne semble pas supporter la reconstruction des flux Java et, m\u00eame si nous l’impl\u00e9mentons, nous pensons que le format est encore trop verbeux pour que nous puissions travailler avec. Nous avons donc d\u00e9cid\u00e9 de tout red\u00e9velopper en tenant compte de ces pr\u00e9occupations.<\/p>\n\n\n\n

Nous sommes heureux d’annoncer la sortie d’un de nos outils interne : Java Serde<\/a>. <\/p>\n\n\n\n

Cet outil est utilis\u00e9 lorsque nous devons interagir avec des objets Java s\u00e9rialis\u00e9s car il les rend plus faciles \u00e0 manipuler. L’id\u00e9e est de convertir un flux d’objets en un document JSON et vice versa. Cela permet d’identifier plus facilement la forme des objets mais aussi de faciliter le forgeage de nouveaux objets. <\/p>\n\n\n\n

Nous avons choisi d’utiliser JSON plut\u00f4t qu’un format personnalis\u00e9 lisible par l’homme parce qu’il s’int\u00e8gre bien \u00e0 de nombreux outils d\u00e9j\u00e0 existants utilis\u00e9s pour manipuler les documents JSON.<\/p>\n\n\n\n

D\u00e9monstration de l’outil Java Serde <\/h2>\n\n\n\n

Pour illustrer le fonctionnement de notre outil, nous prendrons quelques exemples tir\u00e9s de ressources en ligne, y compris les challenges de PortSwigger que nous risquons de d\u00e9voiler un peu. Pour \u00e9viter tout spoil, nous vous recommandons de les faire d’abord de votre c\u00f4t\u00e9.<\/p>\n\n\n\n

D\u00e9coder un flux Java <\/h3>\n\n\n\n

Lors de l’authentification sur un challenge de PortSwigger, nous recevons un cookie de session qui contient un flux Java encod\u00e9 en Base64.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Si nous d\u00e9codons le cookie, nous obtenons un flux Java brut qui n’est pas facile \u00e0 manipuler. Nous ne pouvons pas modifier facilement la longueur des cha\u00eenes de caract\u00e8res et nous avons peu d’informations sur la forme de l’objet. <\/p>\n\n\n\n

Mais avec notre outil, nous pouvons transformer le binaire en un document JSON.<\/p>\n\n\n\n

$ echo \"rO0A[\u2026]cg==\" | base64 -d | java -jar java-serde.jar decode\n[\n  {\n    \"@handle\": 8257538,\n    \"@class\": {\n      \"@handle\": 8257536,\n      \"@name\": \"lab.actions.common.serializable.AccessTokenUser\",\n      \"@serial\": 1824517384844061057,\n      \"@flags\": 2,\n      \"@fields\": [\n        {\n          \"@name\": \"accessToken\",\n          \"@type\": \"Ljava\/lang\/String;\"\n        },\n        {\n          \"@name\": \"username\",\n          \"@type\": \"Ljava\/lang\/String;\"\n        }\n      ],\n      \"@annotations\": [],\n      \"@super\": null\n    },\n    \"@data\": [\n      {\n        \"@values\": [\n          \"fi9b2c76gn4pix5wfxadcxp2lbv6j35j\",\n          \"wiener\"\n        ],\n        \"@annotations\": []\n      }\n    ]\n  }\n]<\/code><\/pre>\n\n\n\n
Comme nous pouvons le voir, il y a beaucoup de donn\u00e9es mais nous avons au moins un JSON. L’id\u00e9e est de garder beaucoup d’informations sur le flux original pour faciliter sa reconstruction, mais cela le rend plus verbeux. <\/p>\n\n\n\n
Le premier champ que nous pouvons voir est \u00ab\u00a0handle\u00a0\u00bb. Il s’agit d’un num\u00e9ro attribu\u00e9 aux \u00e9l\u00e9ments qui peuvent \u00eatre r\u00e9f\u00e9renc\u00e9s plus tard dans le flux. Lorsque vous les \u00e9ditez, vous pouvez s\u00e9lectionner n’importe quel num\u00e9ro, notre programme se chargera d’utiliser le bon lors de l’\u00e9criture du flux.<\/p>\n\n\n\n
Puis, nous pouvons facilement identifier qu’il y a une classe nomm\u00e9e \u00ab\u00a0AccessTokenUser\u00a0\u00bb et ses champs, \u00ab\u00a0username\u00a0\u00bb et \u00ab\u00a0accessToken\u00a0\u00bb, qui sont tous deux des cha\u00eenes de caract\u00e8res. <\/p>\n\n\n\n
Enfin, nous pouvons voir les valeurs de chaque champ dans l’ordre o\u00f9 ils sont d\u00e9clar\u00e9s dans la description de la classe (c’est une chose qui pourrait changer dans le futur, avec un objet cl\u00e9-valeur pour rendre les choses plus faciles \u00e0 lire et \u00e0 \u00e9crire).<\/p>\n\n\n\n
Malheureusement, le challenge ne nous demande pas de modifier l’objet (comme changer le nom d’utilisateur).<\/p>\n\n\n\n
Patcher un flux <\/h3>\n\n\n\n
Imaginez que vous jouez \u00e0 un jeu trouv\u00e9 sur GitHub qui utilise des objets Java pour son format de sauvegarde et que vous n’\u00eates pas tr\u00e8s patient ou bon au jeu. <\/p>\n\n\n\n
Vous pouvez modifier le fichier de sauvegarde pour qu’il vous donne ce que vous voulez.<\/p>\n\n\n\n
Nous avons trouv\u00e9 un petit jeu sur GitHub : un RPG inspir\u00e9 de Zelda<\/a>. <\/p>\n\n\n\n
Lorsqu’on lance le jeu, on voit notre personnage, nos points de vie et notre argent (on voit aussi chaque hitbox, mais c’est un d\u00e9tail). Apr\u00e8s avoir frapp\u00e9 quelques ennemis, il ne nous reste que 2 c\u0153urs et nous avons trouv\u00e9 5 rubis.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Nous pouvons maintenant utiliser notre programme pour modifier notre fichier de sauvegarde afin de r\u00e9tablir notre sant\u00e9 et obtenir un peu d’argent de poche.<\/p>\n\n\n\n
$ cat Zelda.ser | java -jar java-serde.jar decode\n[\n  {\n    \"@handle\": 8257538,\n    \"@class\": {\n      \"@handle\": 8257536,\n      \"@name\": \"zelda.engine.SaveData\",\n      \"@serial\": 40658369698633593,\n      \"@flags\": 2,\n      \"@fields\": [\n        {\n          \"@name\": \"health\",\n          \"@type\": \"I\"\n        },\n        {\n          \"@name\": \"rupee\",\n          \"@type\": \"I\"\n        },\n        {\n          \"@name\": \"sceneName\",\n          \"@type\": \"Ljava\/lang\/String;\"\n        }\n      ],\n      \"@annotations\": [],\n      \"@super\": null\n    },\n    \"@data\": [\n      {\n        \"@values\": [\n          2,\n          5,\n          \"ForrestScene\"\n        ],\n        \"@annotations\": []\n      }\n    ]\n  }\n]<\/code><\/pre>\n\n\n\n
Nous pouvons voir ici que le format de sauvegarde est simple avec uniquement  trois informations sp\u00e9cifiques sur le jeu : la sant\u00e9 du joueur, les rubis, et sa position. <\/p>\n\n\n\n
Il est possible d’utiliser la commande jq<\/a> pour modifier le JSON facilement.<\/p>\n\n\n\n
$ cat Zelda.ser | java -jar java-serde.jar decode | jq '.[0].\"@data\"[0].\"@values\" = [5, 69009, \"CastleScene\"]' > Zelda.json\n$ cat Zelda.json | java -jar java-serde.jar encode > Zelda.ser\n<\/code><\/pre>\n\n\n\n
Ensuite, si nous red\u00e9marrons le jeu, nous pouvons voir nos modifications.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Echanges client-serveur<\/h3>\n\n\n\n
Lors d’un pentest web<\/a>, nous avons test\u00e9 une application web et un client riche, tous deux \u00e9crits en Java. Pour chaque message envoy\u00e9 entre ces deux applications, un objet s\u00e9rialis\u00e9 Java \u00e9tait \u00e9galement envoy\u00e9. <\/p>\n\n\n\n
Au cours de nos tests, nous avons d\u00e9couvert une requ\u00eate int\u00e9ressante adress\u00e9e au serveur. Le client envoyait un chemin et le serveur r\u00e9pondait avec un jeton qui pouvait \u00eatre utilis\u00e9 pour t\u00e9l\u00e9charger le fichier au chemin donn\u00e9. <\/p>\n\n\n\n
En utilisant notre programme comme une extension Burp, il a \u00e9t\u00e9 possible de patcher facilement le flux dans la requ\u00eate et d’extraire le jeton de la r\u00e9ponse.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Le d\u00e9veloppement de l’extension nous a permis d’identifier encore plus de vuln\u00e9rabilit\u00e9s et d’\u00eatre plus efficaces pour les exploiter.<\/p>\n\n\n\n
Conclusion<\/h2>\n\n\n\n
Comme nous avons \u00e9crit le programme pour un cas d’utilisation sp\u00e9cifique, certaines parties de la sp\u00e9cification ne sont pas impl\u00e9ment\u00e9es et pourront l’\u00eatre \u00e0 l’avenir si nous rencontrons ce cas. <\/p>\n\n\n\n
L’extension Burp exige \u00e9galement que le flux se trouve \u00e0 un endroit sp\u00e9cifique et avec un encodage sp\u00e9cifique, vous pouvez toujours patcher le code pour extraire les donn\u00e9es du bon endroit. <\/p>\n\n\n\n
Par exemple, il n’est pas possible de repr\u00e9senter la m\u00eame cha\u00eene de caract\u00e8res dans un flux avec deux handles diff\u00e9rents ; dans notre programme, nous fusionnons ces r\u00e9f\u00e9rences. Cela peut cr\u00e9er des diff\u00e9rences inattendues lors du r\u00e9encodage d’un flux.<\/p>\n\n\n\n
Quoi qu’il en soit, nous trouvons parfois des vuln\u00e9rabilit\u00e9s de base qui sont difficiles \u00e0 exploiter parce que nous ne pouvons pas manipuler les donn\u00e9es facilement, et pour qu’elles soient corrig\u00e9es, nous devons d\u00e9montrer la vuln\u00e9rabilit\u00e9. Nous esp\u00e9rons que cette extension permettra \u00e0 d’autres pentesters de d\u00e9montrer plus facilement les probl\u00e8mes.<\/p>\n\n\n\n
Auteur : Arnaud PASCAL – Pentester @Vaadata<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"
Souvent, lorsque nous entendons parler de la s\u00e9rialisation Java, nous trouvons des ressources ou des challenges qui parlent uniquement de g\u00e9n\u00e9rer et d’ex\u00e9cuter des payloads ysoserial. Dans certaines situations, cela peut fonctionner. Cependant, d\u00e8s qu’un client est conscient de cette possibilit\u00e9, plut\u00f4t que de recourir \u00e0 un format plus s\u00fbr, il pr\u00e9f\u00e8re g\u00e9n\u00e9ralement utiliser \u00e0<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":{"0":"post-8557","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-technique"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/8557","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/comments?post=8557"}],"version-history":[{"count":29,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/8557\/revisions"}],"predecessor-version":[{"id":9249,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/8557\/revisions\/9249"}],"wp:attachment":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/media?parent=8557"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/categories?post=8557"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/tags?post=8557"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}