php unserialize false,php反序列unserialize的一个小特性

最新推荐文章于 2021-03-24 20:56:34 发布
最新推荐文章于 2021-03-24 20:56:34 发布
阅读量111 收藏
点赞数
文章标签: php unserialize false
本文介绍了WordPress中的PHP对象注入漏洞,详细解析了`unserialize()`函数的源码,展示了如何处理序列化字符串,并发现了一个小特性:在序列串前添加`+`符号仍能被正确反序列化。尽管尝试绕过官方补丁未成功,但作者提醒开发者注意这一可能被忽视的安全问题,以避免程序潜在的安全缺陷。
摘要由CSDN通过智能技术生成

这几天wordpress的那个反序列漏洞比较火,具体漏洞我就不做分析了,看看这个:《WordPress < 3.6.1 PHP 对象注入漏洞》你也可以去看英文的原文

wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。

1.unserialize()函数相关源码:

Default

if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);

yych = *YYCURSOR;

switch (yych) {

case 'C':

case 'O': goto yy13;

case 'N': goto yy5;

case 'R': goto yy2;

case 'S': goto yy10;

case 'a': goto yy11;

case 'b': goto yy6;

case 'd': goto yy8;

case 'i': goto yy7;

case 'o': goto yy12;

case 'r': goto yy4;

case 's': goto yy9;

case '}': goto yy14;

default: goto yy16;

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

if((YYLIMIT-YYCURSOR)<7)YYFILL(7);

yych=*YYCURSOR;

switch(yych){

case'C':

case'O':gotoyy13;

case'N':gotoyy5;

case'R':gotoyy2;

case'S':gotoyy10;

case'a':gotoyy11;

case'b':gotoyy6;

case'd':gotoyy8;

case'i':gotoyy7;

case'o':gotoyy12;

case'r':gotoyy4;

case's':gotoyy9;

case'}':gotoyy14;

default:gotoyy16;

}

上边这段代码是判断序列串的处理方式,如序列串O:4:”test”:1:{s:1:”a”;s:3:”aaa”;},处理这个序列串,先获取字符串第一个字符为O,然后case ‘O’:  goto yy13

Default

yy13:

yych = *(YYMARKER = ++YYCURSOR);

if (yych == ':') goto yy17;

goto yy3;

1

2

3

4

yy13:

yych=*(YYMARKER=++YYCURSOR);

if(yych==':')gotoyy17;

gotoyy3;

从上边代码看出,指针移动一位指向第二个字符,判断字符是否为:,然后 goto yy17

Default

yy17:

yych = *++YYCURSOR;

if (yybm[0+yych] & 128) {

goto yy20;

}

if (yych == '+') goto yy19;

.......

yy19:

yych = *++YYCURSOR;

if (yybm[0+yych] & 128) {

goto yy20;

}

goto yy18;

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

yy17:

yych=*++YYCURSOR;

if(yybm[0+yych]&128){

gotoyy20;

}

if(yych=='+')gotoyy19;

.......

yy19:

yych=*++YYCURSOR;

if(yybm[0+yych]&128){

gotoyy20;

}

gotoyy18;

从上边代码看出,指针移动,判断下一位字符,如果字符是数字直接goto yy20,如果是’+’就goto yy19,而yy19中是对下一位字符判断,如果下一位字符是数字goto yy20,不是就goto yy18,yy18是直接退出序列处理,yy20是对object性的序列的处理,所以从上边可以看出:

Default

O:+4:"test":1:{s:1:"a";s:3:"aaa";}

O:4:"test":1:{s:1:"a";s:3:"aaa";}

1

2

O:+4:"test":1:{s:1:"a";s:3:"aaa";}

O:4:"test":1:{s:1:"a";s:3:"aaa";}

都能够被unserialize反序列化,且结果相同。

2.实际测试:

Default

<?php

var_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}'));

var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}'));

?>

1

2

3

4

<?php

var_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}'));

var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}'));

?>

输出:

Default

object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

1

2

object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

其实,不光object类型处理可以多一个’+’,其他类型也可以,具体测试不做过多描述。

3.我们看下wp的补丁:

Default

function is_serialized( $data, $strict = true ) {

// if it isn't a string, it isn't serialized

if ( ! is_string( $data ) )

return false;

$data = trim( $data );

if ( 'N;' == $data )

return true;

$length = strlen( $data );

if ( $length < 4 )

return false;

if ( ':' !== $data[1] )

return false;

if ( $strict ) {//output

$lastc = $data[ $length - 1 ];

if ( ';' !== $lastc && '}' !== $lastc )

return false;

} else {//input

$semicolon = strpos( $data, ';' );

$brace = strpos( $data, '}' );

// Either ; or } must exist.

if ( false === $semicolon && false === $brace )

return false;

// But neither must be in the first X characters.

if ( false !== $semicolon && $semicolon < 3 )

return false;

if ( false !== $brace && $brace < 4 )

return false;

}

$token = $data[0];

switch ( $token ) {

case 's' :

if ( $strict ) {

if ( '"' !== $data[ $length - 2 ] )

return false;

} elseif ( false === strpos( $data, '"' ) ) {

return false;

}

case 'a' :

case 'O' :

echo "a";

return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

case 'b' :

case 'i' :

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

functionis_serialized($data,$strict=true){

// if it isn't a string, it isn't serialized

if(!is_string($data))

returnfalse;

$data=trim($data);

if('N;'==$data)

returntrue;

$length=strlen($data);

if($length<4)

returnfalse;

if(':'!==$data[1])

returnfalse;

if($strict){//output

$lastc=$data[$length-1];

if(';'!==$lastc&&'}'!==$lastc)

returnfalse;

}else{//input

$semicolon=strpos($data,';');

$brace=strpos($data,'}');

// Either ; or } must exist.

if(false===$semicolon&&false===$brace)

returnfalse;

// But neither must be in the first X characters.

if(false!==$semicolon&&$semicolon<3)

returnfalse;

if(false!==$brace&&$brace<4)

returnfalse;

}

$token=$data[0];

switch($token){

case's':

if($strict){

if('"'!==$data[$length-2])

returnfalse;

}elseif(false===strpos($data,'"')){

returnfalse;

}

case'a':

case'O':

echo"a";

return(bool)preg_match("/^{$token}:[0-9]+:/s",$data);

case'b':

case'i':

补丁中的

Default

return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

1

return(bool)preg_match("/^{$token}:[0-9]+:/s",$data);

可以多一个’+’来绕过,虽然我们通过这个方法把序列值写入了数据库,但从数据库中提取数据,再次验证的时候却没法绕过了,我这个加号没能使数据进出数据库发生任何变化,我个人认为这个补丁绕过重点在于数据进出数据的前后变化。

4.总结

虽热没有绕过wp补丁,但这个unserialize()的小特性可能会被很多开发人员忽略,导致程序出现安全缺陷。

以上的分析有什么错误请留言指出。

灰色小熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
golang 解析php序列化,golang实现php里的serialize()和unserialize()序列序列方法详解...
weixin_36434922的博客
03-25 868
golang实现php里的serialize()和unserialize()序列序列方法详解Golang 实现 PHP里的 serialize() 、 unserialize()安装go get -u github.com/techleeone/gophp/serialize用法package mainimport ("fmt""github.com/techleeone/gophp/seri...
php序列unserialize一个特性
ps6c749qk2的专栏
05-05 510
wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize一个特性,在此和大家分享一下。   1.unserialize()函数相关源码:   ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15   17 18 if (
php序列化数据库,Web_php_unserialize(序列化与序列化)
weixin_36377635的博客
03-09 194
题目题目是这样的很明显是一道 PHP 序列化的题目 , 直接来看题目给出的流程首先判断当前是否存在 GET 参数 " var " , 若存在则对其进行 Base64 解码后存入$var变量 . 若不存在则输出当前页面源码对 $var 进行一个正则过滤 , 若通过正则过滤 , 则对其进行序列化操作 , 否则响应提示信息 .题目中给出一个 Demo 类 , 需要注意一下其中三个魔术方法__wa...
mysql serialize_浅谈php serialize()与unserialize()的用法
weixin_34357232的博客
01-27 143
serialize()和unserialize()在php手册上的解释是:serialize — Generates a storable representation of a valueserialize — 产生一个可存储的值的表示unserialize — Creates a PHP value from a stored representationunserialize — 从已存储的...
mysql unserialize_php序列unserialize一个特性与利用
weixin_42300525的博客
02-27 167
一、unserialize()函数特性wordpress存在一个序列漏洞比较火,具体漏洞可以看这篇:http://drops.wooyun.org/papers/596,也可以去看英文的原文:http://vagosec.org/2013/09/wordpress-php-object-injection/。wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有...
攻防世界-web-unserialize3
uh_eng的博客
07-31 121
0x01 打开链接能看到一段PHP代码: 根据题目给出的序列提示,推测应该是利用了PHP序列漏洞,主要目的还是要绕过__wakeup()的执行,于是尝试CVE-2016-7124漏洞,即:如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup( )的执行。 0x02 构造payload如下:(xctf:后面的2也可以换成任何大于1的数) ?code=O:4:"xctf":2{s:4:"flag";s:3:"111";} ...
phpunserialize返回false的解决方法
10-25
接着,文章提供了一个序列化字符串,尝试直接用unserialize函数进行序列化,但结果返回了false。作者解释了导致这一问题的两个原因:一是序列化字符串中可能存在编码不一致的情况,比如在数据库中使用了latin1编码...
PHP7 新特性unserialize、 IntlChar、CSPRNG.md
最新发布
06-13
- 在PHP 7.4及更高版本中,可以使用`unserialize`的第二个参数来指定一个白名单,列出允许被序列化的类。这是一种有效降低风险的方法,但仍需谨慎处理。 4. **避免使用`unserialize`** - 如果可能,尽量不要...
详解php中serialize()和unserialize()函数
10-19
如果类存在但没有定义序列化时的构造函数,`unserialize()` 将创建一个新的实例并填充属性。如果类定义了 `__wakeup()` 魔术方法,该方法会在序列化时被调用。 总的来说,`serialize()` 和 `unserialize()` 是 ...
php serialize()和unserialize()的一个
木子空间
09-17 7633
有个业务需求
python的序列化和序列化_浅析Python 序列化与序列
weixin_39902085的博客
12-11 158
序列化是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态(存在内存中)写入到临时或持久性存储区(硬盘)。以后,可以通过从存储区中读取或序列化对象的状态,重新创建该对象。实现对象的序列化和序列化在python中有两种方式:json 和 pickle。其中json用于字符串 和 python数据类型间进行转换,pickle用于python特有的类型 和 python...
【已解决】__PHP_Incomplete_Class_Name 问题原因之一
硕士茂哥
09-09 4238
php在线测试平台上写了一些代码以获取序列化后的字符串, <?php class WXParams { public $mch_id; function __construct($mch_id) { $this->mch_id = $mch_id; } } $wxParams = new WXParams("aaaaa1"); ech
php unserialize 返回false的解决方法
傲雪星枫
07-23 3万+
php 提供serialize(序列化) 与 unserialize(序列化)方法。 使用serialize序列化后,再使用unserialize序列化就可以获取原来的数据。
php serialize()与unserialize()的用法
苦艾文艺
08-22 4386
对于 serialize()与unserialize(),php官方文档中是这样解释的:       serialize — Generates a storable representation of a value       翻译:serialize — 产生一个可存储的值的表示       unserialize — Creates a PHP value from a stored
php 判断序列化,PHP如何检测字符串是否被序列化?
weixin_32016633的博客
03-24 923
原文:What's the best way to determine whether or not a string is the result of the serialize() function?# Answer 1I'd say, try to unserialize it ;-)Quoting the manual :In case the passed string is not u...
php serialize参数,PHP 序列化(serialize)格式详解
weixin_35691715的博客
03-10 3219
PHP 序列化(serialize)格式详解1.前言PHP (从 PHP 3.05 开始)为保存对象提供了一组序列化和序列化的函数:serializeunserialize。不过在PHP 手册中对这两个函数的说明仅限于如何使用,而对序列化结果的格式却没做任何说明。因此,这对在其他语言中实现 PHP方式的序列化来说,就比较麻烦了。虽然以前也搜集了一些其他语言实现的 PHP 序列化的程序,不过这些...
[wp] 攻防世界 Web_php_unserialize
热门推荐
MercyLin的博客
09-22 3万+
先是一段代码审计: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight...
php serialize mysql_php 序列化(serialize)格式详解
weixin_32858247的博客
01-19 186
1.前言PHP (从 PHP 3.05开始)为保存对象提供了一组序列化和序列化的函数:serializeunserialize。不过在 PHP手册中对这两个函数的说明仅限于如何使用,而对序列化结果的格式却没做任何说明。因此,这对在其他语言中实现 PHP方式的序列化来说,就比较麻烦了。虽然以前也搜集了一些其他语言实现的 PHP序列化的程序,不过这些实现都不完全,当序列化或序列化一些比较复杂的对...
PHP源码中unserialize函数引发的漏洞分析
cnbird's blog
03-07 1581
0×01 unserialize函数的概念 首先看下官方给出的解释:unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 integer、float、string、array 或 object。如果传递的字符串不可解序列化,则返回 FALSE。若被解序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用 __wak
深入理解PHP序列化机制
PHP中,序列化是一个至关重要的概念,它允许我们把之前通过序列化过程保存的字节流(通常是存储在文件或数据库中的字符串)恢复为原始的PHP值。这在数据传输、持久化存储等方面非常有用。本文将深入探讨PHP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值