# Insecure deserialization Lab1 這題是反序列化權限提升,利用 PHP 的序列化格式,直接在 Cookie 中修改物件內容,變成管理員刪掉 carlos。 登入帳密:`wiener:peter` 一樣先進入網站並登入。 ![image](https://hackmd.io/_uploads/SJUqfaYPlg.png) 觀察網站的 Cookie 時,可以發現 session 的內容是 b64 編碼。 ![image](https://hackmd.io/_uploads/r1-NQTKDeg.png) 拿去解碼後可以得到一串格式。 ``` O:4:"User":2:{s:8:"username";s:6:"wiener";s:5:"admin";b:0;} ``` ![image](https://hackmd.io/_uploads/HJXHmTKPgx.png) - `O:4:"User"` → 物件型別叫 User - `s:8:"username"` → 鍵名為 username,值為字串 "wiener" - `s:5:"admin";b:0;` → 權限欄位 admin 是布林值 false 我們嘗試改成 1(True)。 ``` Tzo0OiJVc2VyIjoyOntzOjg6InVzZXJuYW1lIjtzOjY6IndpZW5lciI7czo1OiJhZG1pbiI7YjoxO30= ``` ![image](https://hackmd.io/_uploads/rygqXaYPll.png) ![image](https://hackmd.io/_uploads/BJX3mTKDxe.png) 發現我們確實提權了,所以現在去刪除資料來完成 Lab。 ![image](https://hackmd.io/_uploads/ryq0Q6KDxl.png) ![image](https://hackmd.io/_uploads/BJxJEpKvxl.png) ---