Maison > Article > développement back-end > Différences de syntaxe de sérialisation et de désérialisation PHP
Différences de syntaxe de sérialisation et de désérialisation PHP
- (*-*)浩original
- 2019-11-21 10:40:122503parcourir
La documentation officielle présente la sérialisation et la désérialisation PHP comme suit : >En termes simples, la sérialisation est le processus de conversion d'objets en chaînes, et la désérialisation est le processus de restauration d'objets à partir de chaînes.
EnvironnementL'environnement d'utilisation du contenu décrit dans l'article est le suivant :
所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。为了能够unserialize()一个对象,这个对象的类必须已经定义过。如果序列化类A的一个对象,将会返回一个跟类A相关,而且包含了对象所有变量值的字符串。
Référence recommandée pour l'environnement configuration : "Utiliser VSCODE pour déboguer le code source PHP7 sous WINDOWS 》
Le processus d'exécution de la désérialisation des paramètres est très détaillé sur Internet, mais il existe quelques lacunes dans certains détails, notamment la sérialisation et la désérialisation .Le problème de différence de syntaxe entre
Problème de différenceSérialisation
Nous avons compilé et analysé le code source du noyau PHP et trouvé. la séquence PHP Par défaut, { et } sont ajoutés aux conversions d'objets pour la concaténation en chaînes. PHP7.3.1、SDK
VSCode
C++和C
Jetons un coup d'œil au code ci-dessus. PHP utilisera smart_str_appendl pour épisser la chaîne sérialisée avant et après : {and}, et entrera la logique de sérialisation à partir de la ligne 882 de var.c. L'épissage des chaînes sérialisées est effectué à la ligne 896 et les lignes 952 et 995 sont épissées pour les méthodes en ligne.
La désérialisation consiste à convertir et restaurer la chaîne sérialisée selon certaines règles grammaticales. [var.c]
Line:882
static void php_var_serialize_intern()
Line:896
if (ce->serialize(struc, &serialized_data, &serialized_length, (zend_serialize_data *)var_hash) == SUCCESS) {
smart_str_appendl(buf, "C:", 2);
smart_str_append_unsigned(buf, ZSTR_LEN(Z_OBJCE_P(struc)->name));
smart_str_appendl(buf, ":\"", 2);
smart_str_append(buf, Z_OBJCE_P(struc)->name);
smart_str_appendl(buf, "\":", 2);
smart_str_append_unsigned(buf, serialized_length);
smart_str_appendl(buf, ":{", 2);
smart_str_appendl(buf, (char *) serialized_data, serialized_length);
smart_str_appendc(buf, '}');
}
Line:952
smart_str_appendl(buf, ":{", 2);
Line:995
smart_str_appendc(buf, '}');Grâce au code du noyau, vous pouvez voir que la ligne 655 entre dans la désérialisation. La désérialisation utilise l'analyse lexicale pour déterminer les objets correspondants à chaque conversion de symbole. On peut voir que } est traité lors de la désérialisation. Pendant le traitement, le compteur n'est incrémenté que d'un et aucune autre opération n'est effectuée.
La différence de syntaxe de désérialisation a un grand impact sur le jugement de désérialisation par l'équipement de protection de sécurité. Dans Snort, il existe une règle comme suit : [var_unserialize.c]
Line:655
static int php_var_unserialize_internal()
Line:674
{
YYCTYPE yych;
static const unsigned char yybm[] = {
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
128, 128, 128, 128, 128, 128, 128, 128,
128, 128, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0,
};
if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);
yych = *YYCURSOR;
switch (yych) {
case 'C':
case 'O': goto yy4;
case 'N': goto yy5;
case 'R': goto yy6;
case 'S': goto yy7;
case 'a': goto yy8;
case 'b': goto yy9;
case 'd': goto yy10;
case 'i': goto yy11;
case 'o': goto yy12;
case 'r': goto yy13;
case 's': goto yy14;
case '}': goto yy15;
default: goto yy2;
}
Line:776
yy15:
++YYCURSOR;
{
/* this is the case where we have less data than planned */
php_error_docref(NULL, E_NOTICE, "Unexpected end of serialized data");
return 0; /* not sure if it should be 0 or 1 here? */
} La plupart des caractères peuvent être utilisés à la place de {} dans la charge utile de l'attaque, ce qui rend la règle invalide.
Les différences dans la syntaxe de sérialisation et de désérialisation PHP peuvent être exploitées dans les attaques de l'équipe rouge pour contourner la protection. Dans la défense de l'équipe bleue, il est recommandé de considérer la méthode décrite dans la définition qui ne sauvegardera pas l'objet, mais uniquement le nom de la classe. , interceptez le nom de la classe enregistrée et les mêmes caractères dans la syntaxe tels que deux points pour la défense.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!