Utiliser les différences de syntaxe entre la sérialisation et la désérialisation PHP pour contourner la protection

Introduction

La documentation officielle présente la sérialisation et la désérialisation PHP comme suit :

Toutes les valeurs en php sont You peut utiliser la fonction serialize() pour renvoyer une chaîne contenant un flux d'octets. La fonction unserialize() peut rétablir la chaîne à la valeur d'origine de PHP. La sérialisation d'un objet enregistrera toutes les variables de l'objet, mais ne sauvegardera pas les méthodes de l'objet, uniquement le nom de la classe. Afin de pouvoir désérialiser() un objet, la classe de l'objet doit avoir été définie. Si vous sérialisez un objet de classe A, une chaîne liée à la classe A sera renvoyée contenant les valeurs de toutes les variables de l'objet.

En termes simples, la sérialisation est le processus de conversion d'objets en chaînes, et la désérialisation est le processus de restauration d'objets à partir de chaînes.

Environnement

Le contenu décrit dans l'article est utilisé dans l'environnement suivant :

PHP7.3.1, SDKVSCodeC++ et C

Le processus d'exécution de la désérialisation des paramètres divulgué en ligne est très détaillé, mais il présente quelques lacunes dans certains détails, notamment la différence de syntaxe entre la sérialisation et la désérialisation.

Problèmes de différence

1. Sérialisation

Nous analysons en compilant le code source du noyau PHP. . Il a été constaté que la sérialisation PHP ajoute : { et } à la conversion d'objet par défaut pour le concaténer en une chaîne.

[var.c]
Line:882
static void php_var_serialize_intern()
Line:896
if (ce->serialize(struc, &serialized_data, &serialized_length, (zend_serialize_data *)var_hash) == SUCCESS) {
                        smart_str_appendl(buf, "C:", 2);
                        smart_str_append_unsigned(buf, ZSTR_LEN(Z_OBJCE_P(struc)->name));
                        smart_str_appendl(buf, ":\"", 2);
                        smart_str_append(buf, Z_OBJCE_P(struc)->name);
                        smart_str_appendl(buf, "\":", 2);

                        smart_str_append_unsigned(buf, serialized_length);
                        smart_str_appendl(buf, ":{", 2);
                        smart_str_appendl(buf, (char *) serialized_data, serialized_length);
                        smart_str_appendc(buf, '}');
                    }
Line:952
smart_str_appendl(buf, ":{", 2);
Line:995
smart_str_appendc(buf, '}');

Jetons un coup d'œil au code ci-dessus. PHP utilisera smart_str_appendl pour épisser la chaîne sérialisée avant et après : {and}, et entrera la logique de sérialisation à partir de la ligne 882 de var.c. L'épissage des chaînes sérialisées est effectué à la ligne 896 et les lignes 952 et 995 sont épissées pour les méthodes en ligne.

2. Désérialisation

La désérialisation consiste à convertir et restaurer la chaîne sérialisée selon certaines règles grammaticales.

[var_unserialize.c]
Line:655
static int php_var_unserialize_internal()

Line:674{
    YYCTYPE yych;    
    static const unsigned char yybm[] = {          
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
        128, 128, 128, 128, 128, 128, 128, 128, 
        128, 128,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
    };
    if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);
    yych = *YYCURSOR;    
    switch (yych) {    
    case &#39;C&#39;:    
    case &#39;O&#39;:    goto yy4;    
    case &#39;N&#39;:    goto yy5;    
    case &#39;R&#39;:    goto yy6;    
    case &#39;S&#39;:    goto yy7;    
    case &#39;a&#39;:    goto yy8;    
    case &#39;b&#39;:    goto yy9;    
    case &#39;d&#39;:    goto yy10;    
    case &#39;i&#39;:    goto yy11;    
    case &#39;o&#39;:    goto yy12;    
    case &#39;r&#39;:    goto yy13;    
    case &#39;s&#39;:    goto yy14;    
    case &#39;}&#39;:    goto yy15;    
    default:    goto yy2;
    }

Line:776
yy15:
    ++YYCURSOR;
    {    /* this is the case where we have less data than planned */
    php_error_docref(NULL, E_NOTICE, "Unexpected end of serialized data");    
return 0; /* not sure if it should be 0 or 1 here? */
}

Grâce au code du noyau, vous pouvez voir que la ligne 655 entre dans la désérialisation. La désérialisation utilise l'analyse lexicale pour déterminer les objets correspondants à chaque conversion de symbole. On peut voir que } est traité lors de la désérialisation. Pendant le traitement, le compteur n'est incrémenté que d'un et aucune autre opération n'est effectuée.

Effet réel

La différence de syntaxe de désérialisation a un grand impact sur le jugement de désérialisation par l'équipement de protection de sécurité. Dans Snort, il existe une règle comme suit :

alert tcp any any -> any [80,8080,443] (uricontent:".php"; pcre:"/\{\w:.+?\}/"; sid:1; 
msg:php_serialize;)

La plupart des caractères peuvent être utilisés à la place de {} dans la charge utile de l'attaque, ce qui rend la règle invalide.

Résumé

Les différences dans la syntaxe de sérialisation et de désérialisation PHP peuvent être exploitées dans les attaques de l'équipe rouge pour contourner la protection.

Dans la défense de l'équipe bleue, il est recommandé de considérer la méthode décrite dans la définition qui ne sauvegardera pas l'objet, mais uniquement le nom de la classe. , interceptez le nom de la classe enregistrée et les mêmes caractères dans la syntaxe tels que deux points pour la défense.

Partage d'articles et de tutoriels associés : Tutoriel sur la sécurité du site Web

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!