php反序列unserialize的一个小特点 -tutoriel php-php.cn

Maison

développement back-end

tutoriel php

php反序列unserialize的一个小特点

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 pm 12:30 PM

case data false goto return

php反序列unserialize的一个小特性

这几天wordpress的那个反序列漏洞比较火，具体漏洞我就不做分析了，看这篇：http://drops.wooyun.org/papers/596，?
你也可以去看英文的原文：http://vagosec.org/2013/09/wordpress-php-object-injection/。?

wp官网打了补丁，我试图去bypass补丁，但让我自以为成功的时候，发现我天真了，并没有成功绕过wp的补丁，但却发现了unserialize的一个小特性，在此和大家分享一下。?

1.unserialize()函数相关源码：?

if ((YYLIMIT - YYCURSOR) ????????yych = *YYCURSOR;? ????????switch (yych) {? ????????case 'C':? ????????case 'O':????????goto yy13;? ????????case 'N':????????goto yy5;? ????????case 'R':????????goto yy2;? ????????case 'S':????????goto yy10;? ????????case 'a':????????goto yy11;? ????????case 'b':????????goto yy6;? ????????case 'd':????????goto yy8;? ????????case 'i':????????goto yy7;? ????????case 'o':????????goto yy12;? ????????case 'r':????????goto yy4;? ????????case 's':????????goto yy9;? ????????case '}':????????goto yy14;? ????????default:????????goto yy16;? ????????}

上边这段代码是判断序列串的处理方式，如序列串O:4:"test":1:{s:1:"a";s:3:"aaa";},处理这个序列串，先获取字符串第一个字符为O，然后case 'O':??goto yy13?

yy13:? ????????yych = *(YYMARKER = ++YYCURSOR);? ????????if (yych == ':') goto yy17;? ????????goto yy3;

从上边代码看出，指针移动一位指向第二个字符，判断字符是否为:，然后 goto yy17?

yy17:? ????????yych = *++YYCURSOR;? ????????if (yybm[0+yych] & 128) {? ????????????????goto yy20;? ????????}? ????????if (yych == '+') goto yy19;? .......? yy19:? ????????yych = *++YYCURSOR;? ????????if (yybm[0+yych] & 128) {? ????????????????goto yy20;? ????????}? ????????goto yy18;

从上边代码看出，指针移动，判断下一位字符，如果字符是数字直接goto yy20，如果是'+'就goto yy19，而yy19中是对下一位字符判断，如果下一位字符是数字goto yy20，不是就goto yy18，yy18是直接退出序列处理，yy20是对object性的序列的处理，所以从上边可以看出：?

O:+4:"test":1:{s:1:"a";s:3:"aaa";}? O:4:"test":1:{s:1:"a";s:3:"aaa";}

都能够被unserialize反序列化，且结果相同。?

2.实际测试：?

<?php ? var_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}'));? var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}'));? ?>

输出：?

object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }? object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

其实，不光object类型处理可以多一个'+',其他类型也可以，具体测试不做过多描述。?

3.我们看下wp的补丁：?

function is_serialized( $data, $strict = true ) {? ????????// if it isn't a string, it isn't serialized? ????????if ( ! is_string( $data ) )? ????????????????return false;? ????????$data = trim( $data );? ???????? if ( 'N;' == $data )? ????????????????return true;? ????????$length = strlen( $data );? ????????if ( $length ????????????????return false;? ????????if ( ':' !== $data[1] )? ????????????????return false;? ????????if ( $strict ) {//output? ????????????????$lastc = $data[ $length - 1 ];? ????????????????if ( ';' !== $lastc && '}' !== $lastc )? ????????????????????????return false;? ????????} else {//input? ????????????????$semicolon = strpos( $data, ';' );? ????????????????$brace???? = strpos( $data, '}' );? ????????????????// Either ; or } must exist.? ????????????????if ( false === $semicolon && false === $brace )? ????????????????????????return false;? ????????????????// But neither must be in the first X characters.? ????????????????if ( false !== $semicolon && $semicolon ????????????????????????return false;? ????????????????if ( false !== $brace && $brace ????????????????????????return false;? ????????}? ????????$token = $data[0];? ????????switch ( $token ) {? ????????????????case 's' :? ????????????????????????if ( $strict ) {? ????????????????????????????????if ( '"' !== $data[ $length - 2 ] )? ????????????????????????????????????????return false;? ????????????????????????} elseif ( false === strpos( $data, '"' ) ) {? ????????????????????????????????return false;? ????????????????????????}? ????????????????case 'a' :? ????????????????case 'O' :? ????????????????????????echo "a";? ????????????????????????return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );? ????????????????case 'b' :? ????????????????case 'i' :? ????????????????case 'd' :? ????????????????????????$end = $strict ? '$' : '';? ????????????????????????return (bool) preg_match( "/^{$token}:[0-9.E-]+;$end/", $data );? ????????}? ????????return false;? }
补丁中的?

return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

可以多一个'+'来绕过，虽然我们通过这个方法把序列值写入了数据库，但从数据库中提取数据，再次验证的时候却没法绕过了，我这个加号没能使数据进出数据库发生任何变化，我个人认为这个补丁绕过重点在于数据进出数据的前后变化。?

4.总结?
虽然没有绕过wp补丁，但这个unserialize()的小特性可能会被很多开发人员忽略，导致程序出现安全缺陷。?
以上的分析有什么错误请留言指出。?

5.参考?
《WordPress
http://vagosec.org/2013/09/wordpress-php-object-injection/?
《var_unserializer.c源码》?
https://github.com/php/php-src/blob/73cd2e0ab14d804c6bf0b689490bdd4fd6e969b1/ext/standard/var_unserializer.c?
《PHP string序列化与反序列化语法解析不一致带来的安全隐患》?
http://zone.wooyun.org/content/1664

Déclaration de ce site Web

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Outils d'IA chauds

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

Générez AI Hentai gratuitement.

Afficher plus

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)

4 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌

R.E.P.O. Meilleurs paramètres graphiques

4 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Solution d'énigmes de coquille

2 Il y a quelques semaines By DDD

R.E.P.O. Comment réparer l'audio si vous n'entendez personne

4 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌

WWE 2K25: Comment déverrouiller tout dans Myrise

1 Il y a quelques mois By 尊渡假赌尊渡假赌尊渡假赌

Afficher plus

Outils chauds

Bloc-notes++7.3.1

Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise

Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1

Puissant environnement de développement intégré PHP

Dreamweaver CS6

Outils de développement Web visuel

SublimeText3 version Mac

Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Afficher plus

Sujets chauds

Où se trouve l'entrée de connexion pour la messagerie Gmail ?

7517

Tutoriel CakePHP

1378

Quel est le format du nom de compte de Steam

Clé d&amp;amp;amp;amp;amp;amp;#39;activation Win11 permanent

NYT Connexions Indices et réponses

Afficher plus

Related knowledge

Explication détaillée de l'utilisation de return en langage C Oct 07, 2023 am 10:58 AM

L'utilisation de return en langage C est la suivante : 1. Pour les fonctions dont le type de valeur de retour est void, vous pouvez utiliser l'instruction return pour terminer l'exécution de la fonction plus tôt. 2. Pour les fonctions dont le type de valeur de retour n'est pas void, la fonction de ; l'instruction return sert à terminer l'exécution de la fonction.Le résultat est renvoyé à l'appelant ;3. Terminer l'exécution de la fonction plus tôt que prévu.À l'intérieur de la fonction, nous pouvons utiliser l'instruction return pour terminer l'exécution de la fonction plus tôt. si la fonction ne renvoie pas de valeur.

Quel est l'ordre d'exécution des instructions return et enfin en Java ? Apr 25, 2023 pm 07:55 PM

Code source : publicclassReturnFinallyDemo{publicstaticvoidmain(String[]args){System.out.println(case1());}publicstaticintcase1(){intx;try{x=1;returnx;}finally{x=3;}}}# Sortie La sortie du code ci-dessus peut simplement conclure : return est exécuté avant finalement. Jetons un coup d'œil à ce qui se passe au niveau du bytecode. Ce qui suit intercepte une partie du bytecode de la méthode case1 et compare le code source pour annoter la signification de chaque instruction dans

Quelle est la signification de l'instruction goto en langage C Dec 22, 2022 pm 06:00 PM

En langage C, l'instruction goto est appelée instruction de transfert inconditionnel, qui permet un transfert inconditionnel du contrôle vers une instruction étiquetée au sein de la même fonction ; la syntaxe est « goto label ;...label : instruction ; », où label peut être tout sauf C Texte brut autre que les mots-clés, qui peuvent être définis avant ou après l'instruction goto dans un programme C.

HMD Skyline obtient une nouvelle option de couleur et un boîtier magnétique officiel Aug 23, 2024 am 07:04 AM

Lorsque le HMD Skyline (disponible sur Amazon au prix de 499 $) a été lancé le mois dernier, il est sorti en deux couleurs : Neon Pink et Twisted Black. Ils sont désormais rejoints par une troisième couleur baptisée Blue Topaz. HMD Global a également annoncé un dossier officiel en faveur du ph

Comment utiliser goto en langage go Nov 23, 2022 pm 06:40 PM

Dans le langage Go, l'instruction goto est utilisée pour sauter sans condition à une ligne spécifiée dans le programme ; elle utilise des étiquettes pour effectuer des sauts inconditionnels entre les codes. goto est suivi d'une étiquette. La signification de cette étiquette est d'indiquer au programme Go quelle ligne de code exécuter ensuite. La syntaxe est "goto label;... ...label: expression;". goto rompt l'ordre d'exécution du code d'origine et passe directement à la ligne spécifiée pour exécuter le code ; l'instruction goto est généralement utilisée conjointement avec des instructions conditionnelles et peut être utilisée pour implémenter des fonctions telles que le transfert conditionnel, la formation d'une boucle et le saut hors de le corps de la boucle.

Comment Vue3 utilise-t-il le sucre syntaxique de configuration pour refuser d'écrire le retour May 12, 2023 pm 06:34 PM

Le sucre de syntaxe de configuration de Vue3.2 est un sucre de syntaxe au moment de la compilation qui utilise l'API combinée dans un composant de fichier unique (SFC) pour résoudre la configuration lourde de Vue3.0. Les variables, fonctions et contenus déclarés introduits par l'importation sont exposés via. return, afin qu'ils puissent être utilisés dans Vue3.0. Problèmes d'utilisation 1. Il n'est pas nécessaire de renvoyer les variables, fonctions et contenus déclarés introduits par import lors de l'utilisation. Vous pouvez utiliser du sucre syntaxique //importer le contenu introduit import{getToday. }from'./utils'//variable constmsg='Bonjour !'//function func

variable de jugement de cas de changement Feb 19, 2024 am 08:04 AM

Switchcase nécessite des exemples de code spécifiques pour déterminer les variables. En programmation, nous devons souvent effectuer différentes opérations basées sur différentes valeurs de variables. L'instruction switchcase est une structure pratique qui vous permet de sélectionner différents blocs de code à exécuter en fonction de la valeur d'une variable. Ce qui suit est un exemple de code spécifique qui montre comment utiliser l'instruction switchcase pour déterminer différentes valeurs de variables : #includeintmain(){

Explication détaillée des valeurs de retour de la fonction JavaScript et des instructions de retour Aug 04, 2022 am 09:46 AM

Les fonctions JavaScript fournissent deux interfaces pour interagir avec le monde extérieur. Les paramètres servent d'entrée pour recevoir des informations externes ; la valeur de retour sert de sortie pour renvoyer les résultats de l'opération vers le monde extérieur. L'article suivant vous amènera à comprendre la valeur de retour de la fonction JavaScript et à analyser brièvement l'utilisation de l'instruction return. J'espère qu'elle vous sera utile !

See all articles