>운영 및 유지보수 >안전 >PHP 직렬화와 역직렬화 간의 구문 차이를 사용하여 보호 우회

PHP 직렬화와 역직렬화 간의 구문 차이를 사용하여 보호 우회

王林
王林앞으로
2020-01-02 16:53:082207검색

PHP 직렬화와 역직렬화 간의 구문 차이를 사용하여 보호 우회

소개

공식 문서에서는 다음과 같이 PHP 직렬화 및 역직렬화를 소개합니다.

PHP의 모든 값은 serialize() 함수를 사용하여 바이트 스트림이 포함된 문자열을 반환함으로써 표현할 수 있습니다. unserialize() 함수는 문자열을 PHP의 원래 값으로 다시 변경할 수 있습니다. 객체를 직렬화하면 객체의 모든 변수가 저장되지만 객체의 메서드는 저장되지 않고 클래스 이름만 저장됩니다. 객체를 unserialize()하려면 객체의 클래스가 정의되어 있어야 합니다. 클래스 A의 객체를 직렬화하면 객체의 모든 변수 값을 포함하는 클래스 A와 관련된 문자열이 반환됩니다.

간단히 말하면 직렬화는 객체를 문자열로 변환하는 과정이고, 역직렬화는 문자열에서 객체를 복원하는 과정입니다.

Environment

글에 설명된 콘텐츠의 사용 환경은 다음과 같습니다.

PHP7.3.1, SDKVS CodeC++ 및 C

인터넷에서 공개 매개변수 역직렬화 실행 프로세스는 이미 매우 자세하게 설명되어 있지만 직렬화와 역직렬화 간의 구문적 차이를 포함하여 일부 세부 사항에는 몇 가지 단점이 있습니다.

차이 문제

1. 직렬화

PHP 커널 소스 코드를 컴파일하고 분석한 결과, PHP 직렬화는 기본적으로 문자열로 연결하기 위한 객체 변환에 { 및 }를 추가하는 것으로 나타났습니다.

[var.c]
Line:882
static void php_var_serialize_intern()
Line:896
if (ce->serialize(struc, &serialized_data, &serialized_length, (zend_serialize_data *)var_hash) == SUCCESS) {
                        smart_str_appendl(buf, "C:", 2);
                        smart_str_append_unsigned(buf, ZSTR_LEN(Z_OBJCE_P(struc)->name));
                        smart_str_appendl(buf, ":\"", 2);
                        smart_str_append(buf, Z_OBJCE_P(struc)->name);
                        smart_str_appendl(buf, "\":", 2);

                        smart_str_append_unsigned(buf, serialized_length);
                        smart_str_appendl(buf, ":{", 2);
                        smart_str_appendl(buf, (char *) serialized_data, serialized_length);
                        smart_str_appendc(buf, '}');
                    }
Line:952
smart_str_appendl(buf, ":{", 2);
Line:995
smart_str_appendc(buf, '}');

위 코드를 살펴보겠습니다. PHP는 smart_str_appendl을 사용하여 직렬화된 문자열({and})을 연결하고 var.c의 882번째 줄부터 시작하는 직렬화 논리를 입력합니다. 직렬화된 문자열 접합은 896행에서 수행되며, 952행과 995행은 인라인 방식으로 접합됩니다.

2. 역직렬화

역직렬화는 특정 문법 규칙에 따라 직렬화된 문자열을 변환하고 복원하는 것입니다.

[var_unserialize.c]
Line:655
static int php_var_unserialize_internal()

Line:674{
    YYCTYPE yych;    
    static const unsigned char yybm[] = {          
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
        128, 128, 128, 128, 128, 128, 128, 128, 
        128, 128,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
          0,   0,   0,   0,   0,   0,   0,   0, 
    };
    if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);
    yych = *YYCURSOR;    
    switch (yych) {    
    case &#39;C&#39;:    
    case &#39;O&#39;:    goto yy4;    
    case &#39;N&#39;:    goto yy5;    
    case &#39;R&#39;:    goto yy6;    
    case &#39;S&#39;:    goto yy7;    
    case &#39;a&#39;:    goto yy8;    
    case &#39;b&#39;:    goto yy9;    
    case &#39;d&#39;:    goto yy10;    
    case &#39;i&#39;:    goto yy11;    
    case &#39;o&#39;:    goto yy12;    
    case &#39;r&#39;:    goto yy13;    
    case &#39;s&#39;:    goto yy14;    
    case &#39;}&#39;:    goto yy15;    
    default:    goto yy2;
    }

Line:776
yy15:
    ++YYCURSOR;
    {    /* this is the case where we have less data than planned */
    php_error_docref(NULL, E_NOTICE, "Unexpected end of serialized data");    
return 0; /* not sure if it should be 0 or 1 here? */
}

커널 코드를 통해 655행이 역직렬화에 들어가는 것을 볼 수 있습니다. 역직렬화는 어휘 스캐닝을 사용하여 각 기호 변환의 해당 객체를 결정합니다. deserialization 중에 }가 처리되는 것을 볼 수 있습니다. 처리 중에 카운터는 1씩만 증가하고 다른 작업은 수행되지 않습니다.

실제 효과

역직렬화 구문의 차이는 보안 보호 장비의 역직렬화 판단에 큰 영향을 미칩니다. Snort에는 다음과 같은 규칙이 있습니다.

alert tcp any any -> any [80,8080,443] (uricontent:".php"; pcre:"/\{\w:.+?\}/"; sid:1; 
msg:php_serialize;)

공격 페이로드에서 대부분의 문자를 {} 대신 사용할 수 있으므로 규칙이 무효화됩니다.

요약

PHP 직렬화 및 역직렬화 구문의 차이점은 레드팀 공격에서 보호를 우회하기 위해 악용될 수 있습니다.

블루팀 방어에서는 객체를 저장하지 않고 클래스 이름만 저장한다는 정의에 설명된 방법을 고려하는 것이 좋습니다. , 저장된 클래스의 이름을 가로채고 방어를 위해 콜론과 같은 구문에 동일한 문자를 사용합니다.

관련 기사 튜토리얼 공유: 웹사이트 보안 튜토리얼

위 내용은 PHP 직렬화와 역직렬화 간의 구문 차이를 사용하여 보호 우회의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 freebuf.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제