• 欢迎访问搞代码网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站!
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏搞代码吧

php反序列unserialize的一个小特性_php

php 搞代码 3年前 (2018-06-21) 142次浏览 已收录 0个评论

这几天wordpress的那个反序列漏洞比较火,具体漏洞我就不做分析了,看这篇吧http://drops.wooyun.org/papers/596,你也可以去看英文的原文http://vagosec.org/2013/09/wordpress-php-object-injection/。

wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。
 
1.unserialize()函数相关源码:
 
 if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);         yych = *YYCURSOR;         switch (yych) {         case 'C':         case 'O':        goto yy13;         case 'N':        goto yy5;         case 'R':        goto yy2;         case 'S':        goto yy10;         case 'a':        goto yy11;         case 'b':        goto yy6;         case 'd':        goto yy8;         case 'i':        goto yy7;         case 'o':        goto yy12;         case 'r':        goto yy4;         case 's':        goto yy9;         case '}':        goto yy14;         default:        goto yy16;         }

上边这段代码是判断序列串的处理方式,如序列串O:4:"test":1:{s:1:"a";s:3:"aaa";},处理这个序列串,先获取字符串第一个字符为O,然后case 'O':  goto yy13
yy13:
        yych = *(YYMARKER = ++YYCURSOR);
        if (yych == ':') goto yy17;
        goto yy3;
 
 
从上边代码看出,指针移动一位指向第二个字符,判断字符是否为:,然后 goto yy17
 yy17:         yych = *++YYCURSOR;         if (yybm[0+yych] & 128) {                 goto yy20;         }         if (yych == '+') goto yy19;   .......  yy19:         yych = *++YYCURSOR;         if (yybm[0+yych] & 128) {                 goto yy20;         }         goto yy18; 

上边代码看出,指针移动,判断下一位字符,如果字符是数字直接goto yy20,如果是'+'就goto
yy19,而yy19中是对下一位字符判断,如果下一位字符是数字goto yy20,不是就goto
yy18,yy18是直接退出序列处理,yy20是对object性的序列的处理,所以从上边可以看出:
O:+4:"test":1:{s:1:"a";s:3:"aaa";}
O:4:"test":1:{s:1:"a";s:3:"aaa";}
 
都能够被unserialize反序列化,且结果相同。
 
2.实际测试:
 
 <?php var_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}')); var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}')); ?> 输出: object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }  object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

 
其实,不光object类型处理可以多一个'+',其他类型也可以,具体测试不做过多描述。
 
3.我们看下wp的补丁:
 
 function is_serialized( $data, $strict = true ) {         // if it isn't a string, it isn't serialized         if ( ! is_string( $data ) )                 return false;         $data = trim( $data );          if ( 'N;' == $data )                 return true;         $length = strlen( $data );         if ( $length < 4 )                 return false;         if ( ':' !== $data[1] )                 return false;         if ( $strict ) {//output                 $lastc = $data[ $length - 1 ];                 if ( ';' !== $lastc && '}' !== $lastc )                         return false;         } else {//input                 $semicolon = strpos( $data, ';' );                 $brace     = strpos( $data, '}' );                 // Either ; or } must exist.                 if ( false === $semicolon && false === $brace )                         return false;                 // But neither must be in the first X characters.                 if ( false !== $semicolon && $semicolon < 3 )                         return false;                 if ( false !== $brace && $brace < 4 )                         return false;         }         $token = $data[0];         switch ( $token ) {                 case 's' :                         if ( $strict ) {                                 if ( '"' !== $data[ $length - 2 ] )                                         return false;                         } elseif ( false === strpos( $data, '"' ) ) {                                 return false;                         }                 case 'a' :                 case 'O' :                         echo "a";                         return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );                 case 'b' :                 case 'i' :

补丁中的
return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );
可以多一个'+'来绕过,虽然我们通过这个方法把序列值写入了数据库,但从数据库中提取数据,再次验证的时候却没法绕过了,我这个加号没能使数据进出数据库发生任何变化,我个人认为这个补丁绕过重点在于数据进出数据的前后变化。
 
4.总结
虽热没有绕过wp补丁,但这个unserialize()的小特性可能会被很多开发人员忽略,导致程序出现安全缺陷。
以上的分析有什么错误请留言指出。
 
5.参考
《WordPress < 3.6.1 PHP Object Injection》
http://vagosec.org/2013/09/wordpress-php-object-injection/
《var_unserializer.c源码》
https://github.com/php/php-src/b … /var_unserializer.c
《PHP string序列化与反序列化语法解析不一致带来的安全隐患》 转自
http://zone.wooyun.org/content/1664
 
转自: https://forum.90sec.org/thread-6694-1-1.html
作者: L.N.

欢迎大家阅读《php反序列unserialize的一个小特性_php》,跪求各位点评,若觉得好的话请收藏本文,by 搞代码


喜欢 (0)
[搞代码]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址