php反序列unserialize的一个小特性

最新推荐文章于 2021-06-30 16:08:56 发布
最新推荐文章于 2021-06-30 16:08:56 发布
阅读量504 收藏
点赞数

  wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。

  1.unserialize()函数相关源码:

  ?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
17
18
if  ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);
        yych = *YYCURSOR;
        switch  (yych) {
        case  'C':
        case  'O':        goto  yy13;
        case  'N':        goto  yy5;
        case  'R':        goto  yy2;
        case  'S':        goto  yy10;
        case  'a':        goto  yy11;
        case  'b':        goto  yy6;
        case  'd':        goto  yy8;
        case  'i':        goto  yy7;
        case  'o':        goto  yy12;
        case  'r':        goto  yy4;
        case  's':        goto  yy9;
        case  '}':        goto  yy14;
        default:        goto  yy16;
        }
scfrd.info;
xswft.info;
cghjk.info;
xdefy.info;
edgjk.info;
zsdcf.info;
wgukp.info;
xdswe.info;
nghty.info;
xkrfk.info;
 

  上边这段代码是判断序列串的处理方式,如序列串O:4:"test":1:{s:1:"a";s:3:"aaa";},处理这个序列串,先获取字符串第一个字符为O,然后case 'O': goto yy13

  yy13:

  yych = *(YYMARKER = ++YYCURSOR);

  if (yych == ':') goto yy17;

  goto yy3;

  从上边代码看出,指针移动一位指向第二个字符,判断字符是否为:,然后 goto yy17

  ?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
yy17:
        yych = *++YYCURSOR;
        if  (yybm[0+yych] & 128) {
                goto  yy20;
        }
        if  (yych == '+'goto  yy19;
  
 .......
  
yy19:
        yych = *++YYCURSOR;
        if  (yybm[0+yych] & 128) {
                goto  yy20;
        }
        goto  yy18;

  从

  上边代码看出,指针移动,判断下一位字符,如果字符是数字直接goto yy20,如果是'+'就goto

  yy19,而yy19中是对下一位字符判断,如果下一位字符是数字goto yy20,不是就goto

  yy18,yy18是直接退出序列处理,yy20是对object性的序列的处理,所以从上边可以看出:

  O:+4:"test":1:{s:1:"a";s:3:"aaa";}

  O:4:"test":1:{s:1:"a";s:3:"aaa";}

  都能够被unserialize反序列化,且结果相同。

  2.实际测试:

  ?

1
2
3
4
5
6
7
<?php
var_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}'));
var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}'));
?>
输出:
object(__PHP_Incomplete_Class)#1  (2) { ["__PHP_Incomplete_Class_Name"]=> string(4"test"["a"]=> string(3"aaa" 
object(__PHP_Incomplete_Class)#1  (2) { ["__PHP_Incomplete_Class_Name"]=> string(4"test"["a"]=> string(3"aaa"  }

  其实,不光object类型处理可以多一个'+',其他类型也可以,具体测试不做过多描述。

  3.我们看下wp的补丁:

  ?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
function  is_serialized( $data$strict  = true ) {
        // if it isn't a string, it isn't serialized
        if  ( ! is_string$data  ) )
                return  false;
        $data  = trim( $data  );
         if  'N;'  == $data  )
                return  true;
        $length  strlen$data  );
        if  $length  < 4 )
                return  false;
        if  ':'  !== $data[1] )
                return  false;
        if  $strict  ) {//output
                $lastc  $data$length  - 1 ];
                if  ';'  !== $lastc  && '}'  !== $lastc  )
                        return  false;
        else  {//input
                $semicolon  strpos$data';'  );
                $brace      strpos$data'}'  );
                // Either ; or } must exist.
                if  ( false === $semicolon  && false === $brace  )
                        return  false;
                // But neither must be in the first X characters.
                if  ( false !== $semicolon  && $semicolon  < 3 )
                        return  false;
                if  ( false !== $brace  && $brace  < 4 )
                        return  false;
        }
        $token  $data[0];
        switch  $token  ) {
                case  's'  :
                        if  $strict  ) {
                                if  '"'  !== $data$length  - 2 ] )
                                        return  false;
                        elseif  ( false === strpos$data'"'  ) ) {
                                return  false;
                        }
                case  'a'  :
                case  'O'  :
                        echo  "a";
                        return  (bool) preg_match( "/^{$token}:[0-9]+:/s"$data  );
                case  'b'  :
                case  'i'  :

  补丁中的

  return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

  可以多一个'+'来绕过,虽然我们通过这个方法把序列值写入了数据库,但从数据库中提取数据,再次验证的时候却没法绕过了,我这个加号没能使数据进出数据库发生任何变化,我个人认为这个补丁绕过重点在于数据进出数据的前后变化。

  4.总结

  虽热没有绕过wp补丁,但这个unserialize()的小特性可能会被很多开发人员忽略,导致程序出现安全缺陷。

  以上的分析有什么错误请留言指出。

ps6c749qk2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XCTF-unserialize3
weixin_45613760的博客
08-04 253
XCTF-unserialize3看到题目知道考察的是序列化与序列化的知识下面是一个示例然后我们需要了解魔法方法__wakeup()看题传入序列化后的字符串利用__wakeup()漏洞 看到题目知道考察的是序列化与序列化的知识 序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 序列化(串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 下面是一个示例 <?php class test { public $flag = "flag{xct
攻防世界-unserialize3题
weixin_46784800的博客
11-14 927
攻防世界-unserialize3题 _wakeup()函数 顾名思义,与sleep函数相对应,sleep函数用做睡眠,wake_up函数用作唤醒。 在序列化和序列化的过程中会经常用到wake_up函数,在序列化时,即执行 unserialize() 函数时,会首先检查实例化对象中是否含有wake_up函数,若含有,则首先调用执行wake_up函数。 wake_up函数的作用: 经常用在序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。 序列化: 将对象转换成字符串。字符串包括 属性
XCTF-高手进阶区:unserialize3
1stPeak's Blog
06-24 3869
XCTF-高手进阶区-第六题:unserialize3 目标: 了解php序列化中__wakeup漏洞的利用 了解php魔术方法 __construct(), __destruct(), __call(), __callStatic(), __get(), __set(), __isset(), __unset(), __sleep(), __wakeup(), __toStri...
php unserialize false,php序列unserialize一个特性
weixin_28523493的博客
03-10 107
这几天wordpress的那个序列漏洞比较火,具体漏洞我就不做分析了,看看这个:《WordPress < 3.6.1 PHP 对象注入漏洞》你也可以去看英文的原文wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize一个特性,在此和大家分享一下。1.unserialize()函数相关源码:Defaul...
【攻防世界】十二 --- unserialize3 --- php序列
qq_43168364的博客
12-25 489
题目 — unserialize3 一、writeup 一道php序列化的题 关键点: 当审出存在序列化漏洞时,我们将对应的那个类拿出到自己的php环境中,先用恶意字符串实例化该类然后用serialize()函数,进行序列化,将序列化好的东西抛出到环境中即可造成序列化漏洞 当$flag='111’是可以看到flag,通过?code查询字符串来传入需要序列化的字符串 序列时会自动调用__wakeup() 函数,导致程序结束执行,因此要绕过 __wakeup() 函数(绕过的方法在知识点中有介绍)
攻防世界:序列化 Web_php_unserialize
zxnimud5的专栏
09-14 502
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { .
PHP7 新特性unserialize、 IntlChar、CSPRNG.md
06-13
- 在PHP 7.4及更高版本中,可以使用`unserialize`的第二个参数来指定一个白名单,列出允许被序列化的类。这是一种有效降低风险的方法,但仍需谨慎处理。 4. **避免使用`unserialize`** - 如果可能,尽量不要...
SuperClosure一个允许闭包序列化的PHP
08-07
总之,SuperClosure是一个对于需要处理闭包序列化问题的PHP开发者来说不可或缺的工具。它提供了一种安全且高效的方法来保存和恢复闭包的状态,使得闭包能够在各种复杂场景中发挥作用,进一步提升了PHP的可编程性。
php序列化函数serialize() 和 unserialize() 与原生函数对比
12-19
PHP中,序列化是一种将变量转换为可存储或传输的字符串的过程,而序列化则是将该字符串恢复为原始变量。PHP提供了两种主要的序列化方法:`serialize()` 和 `unserialize()` 以及 `json_encode()` 和 `json_...
详解php中serialize()和unserialize()函数
12-20
- 当 `unserialize()` 遇到无法识别的格式或无效的序列化字符串时,它会返回 `false`,并可能生成一个错误。因此,在使用 `unserialize()` 前,最好先检查字符串是否有效。 - 序列化后的字符串可能包含恶意代码,...
PHP的serialize序列化数据以及JSON格式化数据分析
10-23
如果数据仅在PHP程序内部进行处理,且需要完整地保持PHP数据结构的特性,那么使用serialize一个不错的选择。然而,如果数据需要跨语言交互,特别是前端JavaScript环境,或者对数据的可读性有要求,那么JSON格式化...
微擎函数iserializer和iunserializer序列化函数
chequ5423的博客
04-16 240
数组的序列化: $arr = array('url'=>'www.phpos.net','function','num'=>99,'question'=>'您喜欢哪个网站?','answer'=>array('微信网','腾讯网','百度网')); var...
教程08-微擎系统内置所有函数大全
数字化转型高老师的专栏
06-30 2462
1. 系统公共函数 系统全局公共函数全部位于framework/function/global.func.php文件内。 1.1istripslashes istripslashes() - 去掉字符串或是数组中的转义符 (\) 说明 istripslashes($var) 参数 $varstring | array 需要转义的字符串或数组 返回值 去掉字符串或是数组中的转义符 (\),例如:将字符串或数组中的 ’ \“ \ \ 转换为 ’ ” \ 并返回。 示例 echo...
php serialize参数,PHP 序列化(serialize)格式详解
weixin_35691715的博客
03-10 3194
PHP 序列化(serialize)格式详解1.前言PHP (从 PHP 3.05 开始)为保存对象提供了一组序列化和序列化的函数:serializeunserialize。不过在PHP 手册中对这两个函数的说明仅限于如何使用,而对序列化结果的格式却没做任何说明。因此,这对在其他语言中实现 PHP方式的序列化来说,就比较麻烦了。虽然以前也搜集了一些其他语言实现的 PHP 序列化的程序,不过这些...
php serialize mysql_php 序列化(serialize)格式详解
weixin_32858247的博客
01-19 165
1.前言PHP (从 PHP 3.05开始)为保存对象提供了一组序列化和序列化的函数:serializeunserialize。不过在 PHP手册中对这两个函数的说明仅限于如何使用,而对序列化结果的格式却没做任何说明。因此,这对在其他语言中实现 PHP方式的序列化来说,就比较麻烦了。虽然以前也搜集了一些其他语言实现的 PHP序列化的程序,不过这些实现都不完全,当序列化或序列化一些比较复杂的对...
微擎二级分类分析
微道道的博客
08-03 1809
function tpl_form_field_category_pfxm2level($namepfxm, $parentpfxms, $childrenpfxm, $pingfenid1, $pingfenid2){ $html = ' window._' . $namepfxm . ' = ' . json_encode($childrenpfxm) . '; ';
XCTF攻防世界web进阶练习_ 3_unserialize3
silence1_的博客
04-30 3893
XCTF攻防世界web进阶练习—unserialize3 题目 题目是unserialize3,是序列化的意思,应该是关于序列化的题 打开题目,是一段残缺的php代码 代码定义了一个类,其中有一个魔法方法_wakeup(),_wakeup()会直接退出,并输出" bad requests " 末尾有" ?code= " 看样子是要构造url来绕过_wakeup()这个函数了。 首先_wak...
Source Insight 4.0.zip
最新发布
08-14
Source Insight 4.0.zip
php序列化pop链
10-17
PHP序列化POP链是一种利用PHP序列化漏洞的攻击方式,通过构造恶意的...我们通过构造一个对象引用链,使得在对象被序列化时,依次调用每个对象的__wakeup()和__destruct()方法,最终执行$cmd变量中存储的命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值