php反序列unserialize的一个小特性

最新推荐文章于 2021-08-05 11:19:49 发布
最新推荐文章于 2021-08-05 11:19:49 发布
阅读量222 收藏
点赞数
分类专栏: 技术杂绘 文章标签: php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_11062/article/details/82564534
版权

这几天wordpress的那个反序列漏洞比较火,具体漏洞我就不做分析了,看这篇:http://drops.wooyun.org/papers/596, 
你也可以去看英文的原文:http://vagosec.org/2013/09/wordpress-php-object-injection/。 

wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。 

1.unserialize()函数相关源码: 

if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7); 
        yych = *YYCURSOR; 
        switch (yych) { 
        case 'C': 
        case 'O':        goto yy13; 
        case 'N':        goto yy5; 
        case 'R':        goto yy2; 
        case 'S':        goto yy10; 
        case 'a':        goto yy11; 
        case 'b':        goto yy6; 
        case 'd':        goto yy8; 
        case 'i':        goto yy7; 
        case 'o':        goto yy12; 
        case 'r':        goto yy4; 
        case 's':        goto yy9; 
        case '}':        goto yy14; 
        default:        goto yy16; 
        }

上边这段代码是判断序列串的处理方式,如序列串O:4:"test":1:{s:1:"a";s:3:"aaa";},处理这个序列串,先获取字符串第一个字符为O,然后case 'O':  goto yy13 

yy13: 
        yych = *(YYMARKER = ++YYCURSOR); 
        if (yych == ':') goto yy17; 
        goto yy3;

从上边代码看出,指针移动一位指向第二个字符,判断字符是否为:,然后 goto yy17 

yy17: 
        yych = *++YYCURSOR; 
        if (yybm[0+yych] & 128) { 
                goto yy20; 
        } 
        if (yych == '+') goto yy19; 

....... 

yy19: 
        yych = *++YYCURSOR; 
        if (yybm[0+yych] & 128) { 
                goto yy20; 
        } 
        goto yy18;

从上边代码看出,指针移动,判断下一位字符,如果字符是数字直接goto yy20,如果是'+'就goto yy19,而yy19中是对下一位字符判断,如果下一位字符是数字goto yy20,不是就goto yy18,yy18是直接退出序列处理,yy20是对object性的序列的处理,所以从上边可以看出: 

O:+4:"test":1:{s:1:"a";s:3:"aaa";} 
O:4:"test":1:{s:1:"a";s:3:"aaa";}

都能够被unserialize反序列化,且结果相同。 

2.实际测试: 

<?php 
var_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}')); 
var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}')); 
?>

输出: 

object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" } 
object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

其实,不光object类型处理可以多一个'+',其他类型也可以,具体测试不做过多描述。 

3.我们看下wp的补丁: 

function is_serialized( $data, $strict = true ) { 
        // if it isn't a string, it isn't serialized 
        if ( ! is_string( $data ) ) 
                return false; 
        $data = trim( $data ); 
         if ( 'N;' == $data ) 
                return true; 
        $length = strlen( $data ); 
        if ( $length < 4 ) 
                return false; 
        if ( ':' !== $data[1] ) 
                return false; 
        if ( $strict ) {//output 
                $lastc = $data[ $length - 1 ]; 
                if ( ';' !== $lastc && '}' !== $lastc ) 
                        return false; 
        } else {//input 
                $semicolon = strpos( $data, ';' ); 
                $brace     = strpos( $data, '}' ); 
                // Either ; or } must exist. 
                if ( false === $semicolon && false === $brace ) 
                        return false; 
                // But neither must be in the first X characters. 
                if ( false !== $semicolon && $semicolon < 3 ) 
                        return false; 
                if ( false !== $brace && $brace < 4 ) 
                        return false; 
        } 
        $token = $data[0]; 
        switch ( $token ) { 
                case 's' : 
                        if ( $strict ) { 
                                if ( '"' !== $data[ $length - 2 ] ) 
                                        return false; 
                        } elseif ( false === strpos( $data, '"' ) ) { 
                                return false; 
                        } 
                case 'a' : 
                case 'O' : 
                        echo "a"; 
                        return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data ); 
                case 'b' : 
                case 'i' : 
                case 'd' : 
                        $end = $strict ? '$' : ''; 
                        return (bool) preg_match( "/^{$token}:[0-9.E-]+;$end/", $data ); 
        } 
        return false; 
}
补丁中的 

return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

可以多一个'+'来绕过,虽然我们通过这个方法把序列值写入了数据库,但从数据库中提取数据,再次验证的时候却没法绕过了,我这个加号没能使数据进出数据库发生任何变化,我个人认为这个补丁绕过重点在于数据进出数据的前后变化。 

4.总结 
虽然没有绕过wp补丁,但这个unserialize()的小特性可能会被很多开发人员忽略,导致程序出现安全缺陷。 
以上的分析有什么错误请留言指出。 

5.参考 
《WordPress < 3.6.1 PHP Object Injection》 
http://vagosec.org/2013/09/wordpress-php-object-injection/ 
《var_unserializer.c源码》 
https://github.com/php/php-src/blob/73cd2e0ab14d804c6bf0b689490bdd4fd6e969b1/ext/standard/var_unserializer.c 
《PHP string序列化与反序列化语法解析不一致带来的安全隐患》 
http://zone.wooyun.org/content/1664

iteye_11062
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php代码审计之序列化漏洞
willow_liang的博客
11-15 257
目录 php序列化 Phar序列化概要 phar文件的结构: 原生类序列化 Session序列化 Session序列化的特殊利用 php序列化 什么是序列化? 序列化就是将一个对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。序列化则相将字符串重新恢复成对象 serialize() 序列unserialize() 序列化 漏洞原理: PHP将所有以__ (两个下划线)开头的类方法保留为魔术...
php序列数据库,Web_php_unserialize(序列化与序列化)
weixin_36377635的博客
03-09 187
题目题目是这样的很明显是一道 PHP 序列化的题目 , 直接来看题目给出的流程首先判断当前是否存在 GET 参数 " var " , 若存在则对其进行 Base64 解码后存入$var变量 . 若不存在则输出当前页面源码对 $var 进行一个正则过滤 , 若通过正则过滤 , 则对其进行序列化操作 , 否则响应提示信息 .题目中给出一个 Demo 类 , 需要注意一下其中三个魔术方法__wa...
php序列化cve漏洞复现,CVE-2016-7124php序列化漏洞复现
weixin_30871011的博客
04-08 440
CVE-2016-7124php序列化漏洞复现0X00漏洞原因如果存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行0X01漏洞影响版本PHP5 < 5.6.25PHP7 < 7.0.100X02漏洞详情PHP(PHP:HypertextPreproce...
mysql unserialize_php序列unserialize一个特性与利用
weixin_42300525的博客
02-27 140
一、unserialize()函数特性wordpress存在一个序列漏洞比较火,具体漏洞可以看这篇:http://drops.wooyun.org/papers/596,也可以去看英文的原文:http://vagosec.org/2013/09/wordpress-php-object-injection/。wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有...
PHP7 新特性unserialize、 IntlChar、CSPRNG.md
最新发布
06-13
- 确保你知道序列化的数据是如何生成的,并且它来自一个可信的源。 - 使用白名单验证来确保输入只包含预期的类和属性。 - 你可以尝试使用正则表达式或其他方法来检查序列化的字符串是否符合预期的格式。但是,请注意...
SuperClosure一个允许闭包序列化的PHP
08-07
总之,SuperClosure是一个对于需要处理闭包序列化问题的PHP开发者来说不可或缺的工具。它提供了一种安全且高效的方法来保存和恢复闭包的状态,使得闭包能够在各种复杂场景中发挥作用,进一步提升了PHP的可编程性。
php序列化函数serialize() 和 unserialize() 与原生函数对比
12-19
PHP中,序列化是一种将变量转换为可存储或传输的字符串的过程,而序列化则是将该字符串恢复为原始变量。PHP提供了两种主要的序列化方法:`serialize()` 和 `unserialize()` 以及 `json_encode()` 和 `json_...
详解php中serialize()和unserialize()函数
12-20
- 当 `unserialize()` 遇到无法识别的格式或无效的序列化字符串时,它会返回 `false`,并可能生成一个错误。因此,在使用 `unserialize()` 前,最好先检查字符串是否有效。 - 序列化后的字符串可能包含恶意代码,...
php数据序列化测试实例详解
10-19
3. **serialize**:这是PHP内置的序列化方法,可以将任何PHP变量转换为一个字符串,然后在需要的时候通过unserialize()函数还原。然而,相比于msgpack和json,serialize在时间和空间效率上相对较差,但在处理PHP特定...
UNSERIALIZE——序列化漏洞
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-19 5107
Unserialize序列化 什么是序列化? 序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或序列化对象的状态,重新创建该对象。 【将状态信息保存为字符串】 简单的理解:将PHP中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中 什么是序列化? 序列化就是将对象的状态信息转为字符串储存起来,那么序列化就是再将这个状态信息拿出来使用。(重新再转化为对象
PHP序列化漏洞学习
lyy0xfff的博客
08-05 610
PHP序列化学习笔记 一、序列化与序列化函数 (序列化给我们传递对象提供了一种简单的方法。 serialize()将一个对象转换成一个字符串 unspecialize()将字符串还原为一个对象 序列化一般都是在,如果一个对象你想让其保存或者传到另一个电脑,或者想要存放到数据库中,那么就要对其进行序列化。 序列化本质是没有危害的,但是如果用户可控数据序列化那么就会存在危害的。总之一切用户输入都是有害的 serialize.php <?php class test{ public
绿盟科技互联网安全威胁周报2016.27 请关注MySQL远程代码执行漏洞
weixin_33982670的博客
09-01 309
绿盟科技发布了本周安全通告,周报编号NSFOCUS-16-27,绿盟科技漏洞库本周新增80条,其中高危38条。本次周报建议大家关注持续关注MySQL远程代码执行漏洞CVE-2016-6662,这个漏洞可以拿到Root权限,官方还没有给出补丁。 焦点漏洞 MySQL远程代码执行漏洞(CVE-2016-6662) NSFOCUS ID:34777 CV...
PHP5.5四种序列化性能对比
热门推荐
ugg的专栏
12-18 1万+
json_encode,serialize,igbinary,msgpack四种序列化方式,在PHP5.5方面性能表现如何?
PHP Object Injection(PHP对象注入)
Bendawang's Blog
03-18 4776
PHP Object Injection(PHP对象注入)
PHP 序列化(serialize)格式详解
weixin_34204057的博客
08-17 471
1.前言 PHP (从 PHP 3.05 开始)为保存对象提供了一组序列化和序列化的函数:serializeunserialize。不过在 PHP 手册中对这两个函数的说明仅限于如何使用,而对序列化结果的格式却没做任何说明。因此,这对在其他语言中实现 PHP 方式的序列化来说,就比较麻烦了。虽然以前也搜集了一些其他语言实现的 PHP 序列化的程序,不过这些实现都不完...
unserialize序列化错误的解决办法
weixin_30340775的博客
08-16 301
1.UTF-8编码解决序列化出错问题 function mb_unserialize($serial_str) { $serial_str = str_replace("\r", "", $serial_str); $serial_str = preg_replace('!s:(\d+):"(.*?)";!se', "'s:'.strlen('$2').':\"$2\...
CTF中常见的PHP函数漏洞
渗透、攻防、CTF、编程
07-04 2520
1.弱类型比较 2.MD5 compare漏洞 PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么php将会认为他们相同。 常见的payload有 0x01 md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a...
php serialize()与unserialize()的用法
苦艾文艺
08-22 4380
对于 serialize()与unserialize(),php官方文档中是这样解释的:       serialize — Generates a storable representation of a value       翻译:serialize — 产生一个可存储的值的表示       unserialize — Creates a PHP value from a stored
构造一个序列化的pyload
06-07
构造一个序列化的pyload需要先了解目标应用程序的序列化格式和序列化过程。一般来说,序列化的pyload可以通过构造一个恶意的序列化字符串来实现。以下是一个可能的序列化的pyload示例: ``` O:+5:"Read":1:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值