這幾天wordpress的那個反序列漏洞比較火,具體漏洞我就不做分析了,看這篇:
你也可以去看英文的原文:
wp官網打了補丁,我試圖去bypass補丁,但讓我自以為成功的時候,發現我天真了,並沒有成功繞過wp的補丁,但卻發現了unserialize的乙個小特性,在此和大家分享一下。
1.unserialize()函式相關原始碼:
if ((yylimit - yycursor) < 7) yyfill(7);
yych = *yycursor;
switch (yych) ': goto yy14;
default: goto yy16;
}
上邊這段**是判斷序列串的處理方式,如序列串o:4:"test":1:,處理這個序列串,先獲取字串第乙個字元為o,然後case 'o': goto yy13
yy13:
yych = *(yymarker = ++yycursor);
if (yych == ':') goto yy17;
goto yy3;
從上邊**看出,指標移動一位指向第二個字元,判斷字元是否為:,然後 goto yy17
yy17:
yych = *++yycursor;
if (yybm[0+yych] & 128)
if (yych == '+') goto yy19;
.......
yy19:
yych = *++yycursor;
if (yybm[0+yych] & 128)
goto yy18;
從上邊**看出,指標移動,判斷下一位字元,如果字元是數字直接goto yy20,如果是'+'就goto yy19,而yy19中是對下一位字元判斷,如果下一位字元是數字goto yy20,不是就goto yy18,yy18是直接退出序列處理,yy20是對object性的序列的處理,所以從上邊可以看出:
o:+4:"test":1:
o:4:"test":1:
都能夠被unserialize反序列化,且結果相同。
2.實際測試:
<?php
var_dump(unserialize('o:+4:"test":1:'));
var_dump(unserialize('o:4:"test":1:'));
?>
輸出:
object(__php_incomplete_class)#1 (2)
object(__php_incomplete_class)#1 (2)
其實,不光object型別處理可以多乙個'+',其他型別也可以,具體測試不做過多描述。
3.我們看下wp的補丁:
function is_serialized( $data, $strict = true ) ' !== $lastc )
return false;
} else ' );
// either ; or } must exist.
if ( false === $semicolon && false === $brace )
return false;
// but neither must be in the first x characters.
if ( false !== $semicolon && $semicolon < 3 )
return false;
if ( false !== $brace && $brace < 4 )
return false;
} $token = $data[0];
switch ( $token ) elseif ( false === strpos( $data, '"' ) )
case 'a' :
case 'o' :
echo "a";
return (bool) preg_match( "/^:[0-9]+:/s", $data );
case 'b' :
case 'i' :
case 'd' :
$end = $strict ? '$' : '';
return (bool) preg_match( "/^:[0-9.e-]+;$end/", $data );
} return false;
}
補丁中的
return (bool) preg_match( "/^:[0-9]+:/s", $data );
可以多乙個'+'來繞過,雖然我們通過這個方法把序列值寫入了資料庫,但從資料庫中提取資料,再次驗證的時候卻沒法繞過了,我這個加號沒能使資料進出資料庫發生任何變化,我個人認為這個補丁繞過重點在於資料進出資料的前後變化。
4.總結
雖然沒有繞過wp補丁,但這個unserialize()的小特性可能會被很多開發人員忽略,導致程式出現安全缺陷。
5.參考
《wordpress < 3.6.1 php object injection》
《var_unserializer.c原始碼》
《php string序列化與反序列化語法解析不一致帶來的安全隱患》
php反序列漏洞 例項 PHP反序列化漏洞
雖然胳膊廢了,也不能停止我更新的腳步。寫個簡單點的吧 0x00 何為類和物件 說到序列化和反序列化就不得不提到兩個詞 類和物件 那麼什麼是類,什麼是物件 教科書式的答案是類是物件的抽象,物件是類的例項 那啥叫個抽象,啥叫個例項呢 簡單的說,類就是物件的乙個標準模板,而物件就是按照模板做出來的實物 一...
PHP反序列化
php反序列化漏洞 一 序列化定義 序列化 serialization 在電腦科學的資料處理中,是指將資料結構或物件狀態轉換成可取用格式 例如存成檔案,存於緩衝,或經由網路中傳送 以留待後續在相同或另一台計算機環境中,能恢復原先狀態的過程。概念很容易理解,其實就是將資料轉化成一種可逆的資料結構,自然...
php反序列化
php序列化 將物件或變數轉換成字串。php反序列化 是將字串轉換成原來的變數。serialize serialize 函式用於序列化物件或陣列,並返回乙個字串。serialize 函式序列化物件後,可以很方便的將它傳遞給其他需要它的地方,且其型別和結構不會改變。sites array google...