简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP デシリアライゼーションの小さな機能 unserialize_PHP チュートリアル

WBOY
リリース: 2016-07-13 17:19:23
オリジナル
908 人が閲覧しました

WordPress の desequence 脆弱性は最近非常に有名になっていますが、具体的な脆弱性については詳しく説明しませんので、この記事 http://drops.wooyun.org/papers/596 を読んでください。英語の原文も読むことができます。 vagosec.org/2013/09/wordpress-php-object-injection/。

WP 公式ウェブサイトにパッチが当てられました。パッチをバイパスしようとしましたが、成功したと思ったら、自分が甘かったことに気づき、WP のパッチをうまくバイパスできませんでしたが、アンシリアル化の小さな機能を発見しました。ここであなたと共有したいと思います。
1.unserialize() 関数関連のソースコード:
リーリー

上記のコードは、配列文字列O:4:"test":1:{s:1:"a";s:3:"aaa";}のような配列文字列を判定し、これを処理する処理メソッドですシーケンス文字列、まず文字列の最初の文字を O として取得し、次に case 'O': goto yy13
yy13:
yych = *(YYMARKER = ++YYCURSOR);
if (yych == ':') goto yy17;
yy3;
上記のコードからわかるように、ポインターは 2 番目の文字を指すように 1 位置移動し、その文字が: であるかどうかを判断して、yy17 に進みます
リーリー

から
上記のコードから分かるように、ポインタは次の文字を決定するために移動します。文字が数字の場合は yy20 に直接移動し、それが '+' の場合は goto
を実行します。
yy19、yy19 は次の文字を判断するためのもので、次の文字が数字の場合は yy20 に進み、そうでない場合は goto
を実行します。
yy18、yy18 はシーケンス処理を直接終了し、yy20 はオブジェクトシーケンスを処理するため、上記からわかるように:
O:+4:"テスト":1:{s:1:"a";s:3:"aaa";}
O:4:"テスト":1:{s:1:"a";s:3:"aaa";}
どちらも unserialize によって逆シリアル化でき、結果は同じです。
2. 実際のテスト:
リーリー

実際には、追加の「+」を使用してオブジェクト型を処理できるだけでなく、他の型も処理できます。具体的なテストについてはあまり説明しません。
3. WP パッチを見てみましょう:
リーリー

パッチ中
return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );
この方法でシーケンス値をデータベースに書き込んだのですが、データベースからデータを抽出して再度確認すると、プラス記号が作成できなかったので、データをバイパスできません。データ データベースの内外の変更。個人的には、このパッチ バイパスの焦点は、データの内外のデータの前後の変更にあると思います。
4.まとめ
wp パッチはバイパスされていませんが、unserialize() のこの小さな機能は多くの開発者によって無視される可能性があり、その結果、プログラムにセキュリティ上の欠陥が生じます。
上記の分析に誤りがある場合は、指摘するメッセージを残してください。
5.参考
《WordPress < 3.6.1 PHP オブジェクトインジェクション》
http://vagosec.org/2013/09/wordpress-php-object-injection/
《var_unserializer.c ソースコード》
https://github.com/php/php-src/b…/var_unserializer.c
「PHP文字列のシリアル化と逆シリアル化の間の構文解析の不一致によるセキュリティリスク」
より転載
http://zone.wooyun.org/content/1664
転載元: https://forum.90sec.org/thread-6694-1-1.html
作者: L.N.

www.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/532682.html技術記事 WordPress の desequence 脆弱性は最近非常に有名になっていますが、具体的な脆弱性については詳しく説明しませんので、この記事 http://drops.wooyun.org/papers/596 を読んでください。英語の原文も読むことができます。ヴァ...
関連ラベル:
php unserialize wordpress 小さい 順序 比較する 抜け穴 特性
ソース:php.cn
前の記事:Yii フレームワークの URL 解析の問題_PHP チュートリアル 次の記事:PHP の基礎の概要_PHP チュートリアル
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
URL パラメータから取得した PHP 配列が期待どおりに動作しない カテゴリ ID を含む URL パラメータがあり、それを次のような配列として扱いたいと考えています: http://example.com?cat[]=3,9,13 PHP では、...
から 2024-04-06 22:09:02
0
1
1428
ApacheのどこにCustomLogディレクティブを配置すればよいですか 私はphp:7.2-apachedockerを使用しています。ヘルスチェック URL ログイン アクセス ログを無効にする必要があります。このリンクに基づいて、Customlog ...
から 2024-04-06 22:03:59
0
1
990
戻り値の変数の形式は何ですか? 私はphpの初心者です。コードを見つけました: if($x<time()){return[false,'error'];} ロジックや変数は重要ではありませんが、[false...
から 2024-04-06 21:55:20
0
1
778
opentbs を使用して odt ファイルを生成するときに発生する問題: 同じキーの値が別の列ではなく同じ行に表示されます。 PHPでodtを作成するためにOpenTbsというライブラリを使っていますが、列と行が動的に生成されるので利用しています。行と列の作成方法は知っていますが、それらを整理する方法がわ...
から 2024-04-06 20:18:18
0
1
483
ループするために MySQL の結果を ID ごとにグループ化する mysqlにフライトデータを含むテーブルがあります。 codeigniter3Journey_idair_idFlightDurationout_or_inflightdurati...
から 2024-04-06 17:27:56
0
1
406
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!