php反序列unserialize的一個小特性

來源:互聯網
上載者:User
這幾天wordpress的那個反序列漏洞比較火,具體漏洞我就不做分析了,看這篇吧http://drops.wooyun.org/papers/596,你也可以去看英文的原文http://vagosec.org/2013/09/wordpress-php-object-injection/。wp官網打了補丁,我試圖去bypass補丁,但讓我自以為成功的時候,發現我天真了,並沒有成功繞過wp的補丁,但卻發現了unserialize的一個小特性,在此和大家分享一下。 1.unserialize()函數相關源碼: 
if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);        yych = *YYCURSOR;        switch (yych) {        case 'C':        case 'O':        goto yy13;        case 'N':        goto yy5;        case 'R':        goto yy2;        case 'S':        goto yy10;        case 'a':        goto yy11;        case 'b':        goto yy6;        case 'd':        goto yy8;        case 'i':        goto yy7;        case 'o':        goto yy12;        case 'r':        goto yy4;        case 's':        goto yy9;        case '}':        goto yy14;        default:        goto yy16;        }
上邊這段代碼是判斷序列串的處理方式,如序列串O:4:"test":1:{s:1:"a";s:3:"aaa";},處理這個序列串,先擷取字串第一個字元為O,然後case 'O':  goto yy13yy13:        yych = *(YYMARKER = ++YYCURSOR);        if (yych == ':') goto yy17;        goto yy3;  從上邊代碼看出,指標移動一位指向第二個字元,判斷字元是否為:,然後 goto yy17
yy17:        yych = *++YYCURSOR;        if (yybm[0+yych] & 128) {                goto yy20;        }        if (yych == '+') goto yy19; .......yy19:        yych = *++YYCURSOR;        if (yybm[0+yych] & 128) {                goto yy20;        }        goto yy18;
從上邊代碼看出,指標移動,判斷下一位字元,如果字元是數字直接goto yy20,如果是'+'就gotoyy19,而yy19中是對下一位字元判斷,如果下一位字元是數字goto yy20,不是就gotoyy18,yy18是直接退出序列處理,yy20是對object性的序列的處理,所以從上邊可以看出:O:+4:"test":1:{s:1:"a";s:3:"aaa";}O:4:"test":1:{s:1:"a";s:3:"aaa";} 都能夠被unserialize還原序列化,且結果相同。 2.實際測試: 
<?phpvar_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}'));var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}'));?>輸出:object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" } object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }
 其實,不光object類型處理可以多一個'+',其他類型也可以,具體測試不做過多描述。 3.我們看下wp的補丁: 
function is_serialized( $data, $strict = true ) {        // if it isn't a string, it isn't serialized        if ( ! is_string( $data ) )                return false;        $data = trim( $data );         if ( 'N;' == $data )                return true;        $length = strlen( $data );        if ( $length < 4 )                return false;        if ( ':' !== $data[1] )                return false;        if ( $strict ) {//output                $lastc = $data[ $length - 1 ];                if ( ';' !== $lastc && '}' !== $lastc )                        return false;        } else {//input                $semicolon = strpos( $data, ';' );                $brace     = strpos( $data, '}' );                // Either ; or } must exist.                if ( false === $semicolon && false === $brace )                        return false;                // But neither must be in the first X characters.                if ( false !== $semicolon && $semicolon < 3 )                        return false;                if ( false !== $brace && $brace < 4 )                        return false;        }        $token = $data[0];        switch ( $token ) {                case 's' :                        if ( $strict ) {                                if ( '"' !== $data[ $length - 2 ] )                                        return false;                        } elseif ( false === strpos( $data, '"' ) ) {                                return false;                        }                case 'a' :                case 'O' :                        echo "a";                        return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );                case 'b' :                case 'i' :
補丁中的return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );可以多一個'+'來繞過,雖然我們通過這個方法把序列值寫入了資料庫,但從資料庫中提取資料,再次驗證的時候卻沒法繞過了,我這個加號沒能使資料進出資料庫發生任何變化,我個人認為這個補丁繞過重點在於資料進出資料的前後變化。 4.總結雖熱沒有繞過wp補丁,但這個unserialize()的小特性可能會被很多開發人員忽略,導致程式出現安全缺陷。以上的分析有什麼錯誤請留言指出。 5.參考《WordPress < 3.6.1 PHP Object Injection》http://vagosec.org/2013/09/wordpress-php-object-injection/《var_unserializer.c源碼》https://github.com/php/php-src/b ... /var_unserializer.c《PHP string序列化與還原序列化文法解析不一致帶來的安全隱患》 轉自http://zone.wooyun.org/content/1664 轉自: https://forum.90sec.org/thread-6694-1-1.html作者: L.N.

相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。