php反序列unserialize的一个小特性

admin
admin
admin
138691
文章
114
评论
2021年4月3日19:15:56评论56 views字数 866阅读2分53秒阅读模式

这几天wordpress的那个反序列漏洞比较火,具体漏洞我就不做分析了,看这篇:http://drops.wooyun.org/papers/596,

你也可以去看英文的原文:http://vagosec.org/2013/09/wordpress-php-object-injection/。

wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。

1.unserialize()函数相关源码: 

if ((YYLIMIT - YYCURSOR) 


	上边这段代码是判断序列串的处理方式,如序列串O:4:"test":1:{s:1:"a";s:3:"aaa";},处理这个序列串,先获取字符串第一个字符为O,然后case 'O':  goto yy13



yy13:
        yych = *(YYMARKER = ++YYCURSOR);
        if (yych == ':') goto yy17;
        goto yy3;



	从上边代码看出,指针移动一位指向第二个字符,判断字符是否为:,然后 goto yy17



yy17:
        yych = *++YYCURSOR;
        if (yybm[0+yych] & 128) {
                goto yy20;
        }
        if (yych == '+') goto yy19;

 .......

yy19:
        yych = *++YYCURSOR;
        if (yybm[0+yych] & 128) {
                goto yy20;
        }
        goto yy18;



	从上边代码看出,指针移动,判断下一位字符,如果字符是数字直接goto yy20,如果是'+'就goto yy19,而yy19中是对下一位字符判断,如果下一位字符是数字goto yy20,不是就goto yy18,yy18是直接退出序列处理,yy20是对object性的序列的处理,所以从上边可以看出:



O:+4:"test":1:{s:1:"a";s:3:"aaa";}
O:4:"test":1:{s:1:"a";s:3:"aaa";}



	都能够被unserialize反序列化,且结果相同。




	2.实际测试:






	输出:



object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" } 
object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }



	其实,不光object类型处理可以多一个'+',其他类型也可以,具体测试不做过多描述。




	3.我们看下wp的补丁:



function is_serialized( $data, $strict = true ) {
        // if it isn't a string, it isn't serialized
        if ( ! is_string( $data ) )
                return false;
        $data = trim( $data );
         if ( 'N;' == $data )
                return true;
        $length = strlen( $data );
        if ( $length 


	补丁中的



return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );



	可以多一个'+'来绕过,虽然我们通过这个方法把序列值写入了数据库,但从数据库中提取数据,再次验证的时候却没法绕过了,我这个加号没能使数据进出数据库发生任何变化,我个人认为这个补丁绕过重点在于数据进出数据的前后变化。




	4.总结




	虽然没有绕过wp补丁,但这个unserialize()的小特性可能会被很多开发人员忽略,导致程序出现安全缺陷。




	以上的分析有什么错误请留言指出。




	5.参考




	《WordPress




	http://vagosec.org/2013/09/wordpress-php-object-injection/




	《var_unserializer.c源码》




	https://github.com/php/php-src/blob/73cd2e0ab14d804c6bf0b689490bdd4fd6e969b1/ext/standard/var_unserializer.c




	《PHP string序列化与反序列化语法解析不一致带来的安全隐患》




	http://zone.wooyun.org/content/1664




	[原文地址]



    文章来源于lcx.cc:php反序列unserialize的一个小特性


相关推荐: 各种常见虚拟主机目录、路径对照表


星外虚拟主机主机 D:freehostzhoudeyangweb Prim@Hosting虚拟主机 D:hostingwwwroot vhostroot分支 D:VhostWebRoot51dancecn vhostroot D:vhostrootlocalu…
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日19:15:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   php反序列unserialize的一个小特性https://cn-sec.com/archives/320659.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息