![先の結果をデシリアライズする<?phpclass B {public $name;public function __construct($name) {$this->name = $name;}public function __destruct() {echo "** {$this->name}は破棄されましたn";}}$s = 'O:1:"B":1:{s:4:"name";s:4:"hoge";}';var_dump(unserialize($s));© 2016-2020 Hiroshi Tokumaru 11object(B)#1 (1) {["name"]=>string(4) "hoge"}** hogeは破棄されました実行結果デストラクタが実行された生成されたオブジェクト](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fintroduction-to-unsafe-deserialization-200414234927%2f75%2fintroduction-to-unsafe-deserialization-part1-11-2048.jpg&f=jpg&w=240)
![<?phpclass C {public $mail;public function __construct($mail) {$this->mail = $mail;}public function __destruct() {system("/usr/sbin/sendmail {$this->mail} < ./template.txt");}}// $s は実際には外部からの文字列$s = 'O:1:"C":1:{s:4:"mail";s:16:"alice@example.jp";}';var_dump(unserialize($s));脆弱なスクリプト例(デシリアライズ側:正常系)© 2016-2020 Hiroshi Tokumaru 14object(C)#1 (1) {["mail"]=>string(16) "alice@example.jp"}実行結果デシリアライズ結果このメールアドレスにメール送信される](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fintroduction-to-unsafe-deserialization-200414234927%2f75%2fintroduction-to-unsafe-deserialization-part1-14-2048.jpg&f=jpg&w=240)
![<?phpclass C {public $mail;public function __construct($mail) {$this->mail = $mail;}public function __destruct() {system("/usr/sbin/sendmail {$this->mail} < ./template.txt");}}// $s は実際には外部からの文字列$s = 'O:1:"C":1:{s:4:"mail";s:17:"; cat /etc/passwd";}';var_dump(unserialize($s));脆弱なスクリプト例(デシリアライズ側: 攻撃例)© 2016-2020 Hiroshi Tokumaru 15object(C)#1 (1) {["mail"]=>string(17) "; cat /etc/passwd"}実行結果デシリアライズ結果。この結果が下記が実行されるsystem("/usr/sbin/sendmail ; cat /etc/passwd < ./template.txt](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fintroduction-to-unsafe-deserialization-200414234927%2f75%2fintroduction-to-unsafe-deserialization-part1-15-2048.jpg&f=jpg&w=240)
![/etc/passwd が表示されたobject(C)#1 (1) {["mail"]=>string(17) "; cat /etc/passwd"}sendmail: fatal: ockeghem(1000): Recipient addresses must bespecified on the command line or via the -t optionroot:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologinbin:x:2:2:bin:/bin:/usr/sbin/nologinsys:x:3:3:sys:/dev:/usr/sbin/nologinsync:x:4:65534:sync:/bin:/bin/sync# 以下略© 2016-2020 Hiroshi Tokumaru 16](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fintroduction-to-unsafe-deserialization-200414234927%2f75%2fintroduction-to-unsafe-deserialization-part1-16-2048.jpg&f=jpg&w=240)
Uploaded byHiroshi Tokumaru
548 views
introduction to unsafe deserialization part1
安全でないデシリアライゼーション入門基礎編です。PHPを前提として、クラスのコンストラクタ・デストラクタ、シリアライズ・デシリアライズから、脆弱なスクリプトと攻撃方法までを解説します
Recommended
More Related Content
Similar to introduction to unsafe deserialization part1
More from Hiroshi Tokumaru
introduction to unsafe deserialization part1
- 1.
- 2.
- 3.OWASP Top 10– 2017 の内容3項番 内容A1 インジェクションA2 認証の不備A3 機微な情報の露出A4 XML外部エンティティ参照(XXE)A5 アクセス制御の不備A6 不適切なセキュリティ設定A7 クロスサイトスクリプティング(XSS)A8 安全でないデシリアライゼーションA9 既知の脆弱性のあるコンポーネントの使用A10 不十分なロギングとモニタリングNew
- 4.安全でないデシリアライゼーション(CWE-502)とは4• クッキー等からシリアライズデータを送り込み、任意のオブジェクトをメモリ内に生成• オブジェクトが破棄されるタイミングでデストラクタが実行される•オブジェクトを巧妙に組み合わせることにより、攻撃を実行© 2016-2020 Hiroshi Tokumaru
- 5.PHPのコンストラクタ・デストラクタ超入門© 2016-2020 HiroshiTokumaru 5
- 6.クラス・コンストラクタ・デストラクタ<?phpclass A {publicfunction __construct() { // コンストラクタecho "** コンストラクタ実行n"; // コンストラクタはnewの際に呼ばれる}public function __destruct() { // デストラクタecho "** デストラクタ実行n"; // デストラクタはオブジェクトが開放された} // 際に呼ばれる}echo "** プログラム開始n";$a = new A();echo "** プログラム終了n";© 2016-2020 Hiroshi Tokumaru 6
- 7.クラス・コンストラクタ・デストラクタ<?phpclass A {publicfunction __construct() {echo "** コンストラクタ実行n";}public function __destruct() {echo "** デストラクタ実行n";}}echo "** プログラム開始n";$a = new A();echo "** プログラム終了n";© 2016-2020 Hiroshi Tokumaru 7** プログラム開始** コンストラクタ実行** プログラム終了** デストラクタ実行実行結果オブジェクトが参照されなくなるとデストラクタが実行される
- 8.シリアライズ入門© 2016-2020 HiroshiTokumaru 8
- 9.シリアライズとは?• serializeは「一列にする」という意味• シリアライズは、オブジェクトや配列など、構造を持ったデータを「バイト列」に変換して、伝送や蓄積しやすい形式にすること•デシリアライズは、シリアライズしたバイト列を元に戻すこと© 2016-2020 Hiroshi Tokumaru 9
- 10.以下のクラスをシリアライズしてみる<?phpclass B {public$name;public function __construct($name) {$this->name = $name; // オブジェクトに名前をつける}public function __destruct() {echo "** {$this->name}は破棄されましたn"; // デストラクタを確認}}$b = new B('hoge');echo serialize($b), PHP_EOL;© 2016-2020 Hiroshi Tokumaru 10O:1:"B":1:{s:4:"name";s:4:"hoge";}** hogeは破棄されました実行結果シリアライズ結果
- 11.先の結果をデシリアライズする<?phpclass B {public$name;public function __construct($name) {$this->name = $name;}public function __destruct() {echo "** {$this->name}は破棄されましたn";}}$s = 'O:1:"B":1:{s:4:"name";s:4:"hoge";}';var_dump(unserialize($s));© 2016-2020 Hiroshi Tokumaru 11object(B)#1 (1) {["name"]=>string(4) "hoge"}** hogeは破棄されました実行結果デストラクタが実行された生成されたオブジェクト
- 12.デシリアライズの問題点• 振り返り– シリアライズ:オブジェクトや配列などをバイト列に変換する– デシリアライズ: シリアライズ結果から元の形式に戻すこと• 外部から受け取ったバイト列をデシリアライズすると、任意のクラスのオブジェクトが作れる• ただし、クラスは既存のものに限る• オブジェクトをデシリアライズすると、最終的にオブジェクトのデストラクタが呼ばれる• デストラクタによって悪いことができる場合がある• 攻撃にあたっては、既存のクラス定義の中で「どこまでできるか」が問題になる© 2016-2020 Hiroshi Tokumaru 12
- 13.<?phpclass C {// 指定したメールアドレスにデストラクタでメール送信するpublic $mail;public function __construct($mail) {$this->mail = $mail;}public function __destruct() {system("/usr/sbin/sendmail {$this->mail} < ./template.txt");}}$c = new C('alice@example.jp');echo serialize($c), PHP_EOL;脆弱なスクリプト例(極端な例…まずはシリアライズ側)© 2016-2020 Hiroshi Tokumaru 13O:1:"C":1:{s:4:"mail";s:16:"alice@example.jp";}実行結果シリアライズ結果
- 14.<?phpclass C {public$mail;public function __construct($mail) {$this->mail = $mail;}public function __destruct() {system("/usr/sbin/sendmail {$this->mail} < ./template.txt");}}// $s は実際には外部からの文字列$s = 'O:1:"C":1:{s:4:"mail";s:16:"alice@example.jp";}';var_dump(unserialize($s));脆弱なスクリプト例(デシリアライズ側:正常系)© 2016-2020 Hiroshi Tokumaru 14object(C)#1 (1) {["mail"]=>string(16) "alice@example.jp"}実行結果デシリアライズ結果このメールアドレスにメール送信される
- 15.<?phpclass C {public$mail;public function __construct($mail) {$this->mail = $mail;}public function __destruct() {system("/usr/sbin/sendmail {$this->mail} < ./template.txt");}}// $s は実際には外部からの文字列$s = 'O:1:"C":1:{s:4:"mail";s:17:"; cat /etc/passwd";}';var_dump(unserialize($s));脆弱なスクリプト例(デシリアライズ側: 攻撃例)© 2016-2020 Hiroshi Tokumaru 15object(C)#1 (1) {["mail"]=>string(17) "; cat /etc/passwd"}実行結果デシリアライズ結果。この結果が下記が実行されるsystem("/usr/sbin/sendmail ; cat /etc/passwd < ./template.txt
- 16./etc/passwd が表示されたobject(C)#1 (1){["mail"]=>string(17) "; cat /etc/passwd"}sendmail: fatal: ockeghem(1000): Recipient addresses must bespecified on the command line or via the -t optionroot:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologinbin:x:2:2:bin:/bin:/usr/sbin/nologinsys:x:3:3:sys:/dev:/usr/sbin/nologinsync:x:4:65534:sync:/bin:/bin/sync# 以下略© 2016-2020 Hiroshi Tokumaru 16
- 17.安全でないデシリアライゼーション(CWE-502)とは(再掲)17• クッキー等からシリアライズデータを送り込み、任意のオブジェクトをメモリ内に生成• オブジェクトが破棄されるタイミングでデストラクタが実行される•オブジェクトを巧妙に組み合わせることにより、攻撃を実行© 2016-2020 Hiroshi Tokumaru
- 18.次のステップに向けて• 安全でないデシリアライゼーションの攻撃方法をわかりやすい例で説明しました• わかりやすい代わりに、ちょっと「わざとらしい」ですね!わざとらしくない例は次回説明する予定です•チャンネル登録してお待ち下さい (_ _)徳丸浩のウェブセキュリティ講座https://j.mp/web-sec-study© 2016-2020 Hiroshi Tokumaru 18
- 19.