php反序列unserialize的一个小特点 -PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

php反序列unserialize的一个小特点

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 pm 12:30 PM

case data false goto return

php反序列unserialize的一个小特性

这几天wordpress的那个反序列漏洞比较火，具体漏洞我就不做分析了，看这篇：http://drops.wooyun.org/papers/596，?
你也可以去看英文的原文：http://vagosec.org/2013/09/wordpress-php-object-injection/。?

wp官网打了补丁，我试图去bypass补丁，但让我自以为成功的时候，发现我天真了，并没有成功绕过wp的补丁，但却发现了unserialize的一个小特性，在此和大家分享一下。?

1.unserialize()函数相关源码：?

if ((YYLIMIT - YYCURSOR) ????????yych = *YYCURSOR;? ????????switch (yych) {? ????????case 'C':? ????????case 'O':????????goto yy13;? ????????case 'N':????????goto yy5;? ????????case 'R':????????goto yy2;? ????????case 'S':????????goto yy10;? ????????case 'a':????????goto yy11;? ????????case 'b':????????goto yy6;? ????????case 'd':????????goto yy8;? ????????case 'i':????????goto yy7;? ????????case 'o':????????goto yy12;? ????????case 'r':????????goto yy4;? ????????case 's':????????goto yy9;? ????????case '}':????????goto yy14;? ????????default:????????goto yy16;? ????????}

上边这段代码是判断序列串的处理方式，如序列串O:4:"test":1:{s:1:"a";s:3:"aaa";},处理这个序列串，先获取字符串第一个字符为O，然后case 'O':??goto yy13?

yy13:? ????????yych = *(YYMARKER = ++YYCURSOR);? ????????if (yych == ':') goto yy17;? ????????goto yy3;

从上边代码看出，指针移动一位指向第二个字符，判断字符是否为:，然后 goto yy17?

yy17:? ????????yych = *++YYCURSOR;? ????????if (yybm[0+yych] & 128) {? ????????????????goto yy20;? ????????}? ????????if (yych == '+') goto yy19;? .......? yy19:? ????????yych = *++YYCURSOR;? ????????if (yybm[0+yych] & 128) {? ????????????????goto yy20;? ????????}? ????????goto yy18;

从上边代码看出，指针移动，判断下一位字符，如果字符是数字直接goto yy20，如果是'+'就goto yy19，而yy19中是对下一位字符判断，如果下一位字符是数字goto yy20，不是就goto yy18，yy18是直接退出序列处理，yy20是对object性的序列的处理，所以从上边可以看出：?

O:+4:"test":1:{s:1:"a";s:3:"aaa";}? O:4:"test":1:{s:1:"a";s:3:"aaa";}

都能够被unserialize反序列化，且结果相同。?

2.实际测试：?

<?php ? var_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}'));? var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}'));? ?>

输出：?

object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }? object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

其实，不光object类型处理可以多一个'+',其他类型也可以，具体测试不做过多描述。?

3.我们看下wp的补丁：?

function is_serialized( $data, $strict = true ) {? ????????// if it isn't a string, it isn't serialized? ????????if ( ! is_string( $data ) )? ????????????????return false;? ????????$data = trim( $data );? ???????? if ( 'N;' == $data )? ????????????????return true;? ????????$length = strlen( $data );? ????????if ( $length ????????????????return false;? ????????if ( ':' !== $data[1] )? ????????????????return false;? ????????if ( $strict ) {//output? ????????????????$lastc = $data[ $length - 1 ];? ????????????????if ( ';' !== $lastc && '}' !== $lastc )? ????????????????????????return false;? ????????} else {//input? ????????????????$semicolon = strpos( $data, ';' );? ????????????????$brace???? = strpos( $data, '}' );? ????????????????// Either ; or } must exist.? ????????????????if ( false === $semicolon && false === $brace )? ????????????????????????return false;? ????????????????// But neither must be in the first X characters.? ????????????????if ( false !== $semicolon && $semicolon ????????????????????????return false;? ????????????????if ( false !== $brace && $brace ????????????????????????return false;? ????????}? ????????$token = $data[0];? ????????switch ( $token ) {? ????????????????case 's' :? ????????????????????????if ( $strict ) {? ????????????????????????????????if ( '"' !== $data[ $length - 2 ] )? ????????????????????????????????????????return false;? ????????????????????????} elseif ( false === strpos( $data, '"' ) ) {? ????????????????????????????????return false;? ????????????????????????}? ????????????????case 'a' :? ????????????????case 'O' :? ????????????????????????echo "a";? ????????????????????????return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );? ????????????????case 'b' :? ????????????????case 'i' :? ????????????????case 'd' :? ????????????????????????$end = $strict ? '$' : '';? ????????????????????????return (bool) preg_match( "/^{$token}:[0-9.E-]+;$end/", $data );? ????????}? ????????return false;? }
补丁中的?

return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

可以多一个'+'来绕过，虽然我们通过这个方法把序列值写入了数据库，但从数据库中提取数据，再次验证的时候却没法绕过了，我这个加号没能使数据进出数据库发生任何变化，我个人认为这个补丁绕过重点在于数据进出数据的前后变化。?

4.总结?
虽然没有绕过wp补丁，但这个unserialize()的小特性可能会被很多开发人员忽略，导致程序出现安全缺陷。?
以上的分析有什么错误请留言指出。?

5.参考?
《WordPress
http://vagosec.org/2013/09/wordpress-php-object-injection/?
《var_unserializer.c源码》?
https://github.com/php/php-src/blob/73cd2e0ab14d804c6bf0b689490bdd4fd6e969b1/ext/standard/var_unserializer.c?
《PHP string序列化与反序列化语法解析不一致带来的安全隐患》?
http://zone.wooyun.org/content/1664

본 웹사이트의 성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?

7519

Cakephp 튜토리얼

1378

Steam의 계정 이름 형식은 무엇입니까?

Win11 활성화 키 영구

NYT 연결 힌트와 답변

Related knowledge

C 언어의 return 사용법에 대한 자세한 설명 Oct 07, 2023 am 10:58 AM

C 언어에서 return의 사용법은 다음과 같습니다. 1. 반환 값 유형이 void인 함수의 경우 return 문을 사용하여 함수 실행을 조기에 종료할 수 있습니다. 2. 반환 값 유형이 void가 아닌 함수의 경우 return 문은 함수 실행을 종료하는 것입니다. 결과는 호출자에게 반환됩니다. 3. 함수 실행을 조기에 종료합니다. 함수 내부에서는 return 문을 사용하여 함수 실행을 조기에 종료할 수 있습니다. 함수가 값을 반환하지 않는 경우.

Java에서 return 및 finally 문의 실행 순서는 무엇입니까? Apr 25, 2023 pm 07:55 PM

소스 코드: publicclassReturnFinallyDemo{publicstaticvoidmain(String[]args){System.out.println(case1());}publicstaticintcase1(){intx;try{x=1;returnx;}finally{x=3;}}}# 출력 위 코드의 출력은 간단히 결론을 내릴 수 있습니다. return은 finally 전에 실행됩니다. 바이트코드 수준에서 무슨 일이 일어나는지 살펴보겠습니다. 다음은 case1 메소드의 바이트코드 일부를 가로채서 소스 코드를 비교하여 각 명령어의 의미를 주석으로 표시합니다.

C언어에서 goto문의 의미는 무엇인가요? Dec 22, 2022 pm 06:00 PM

C 언어에서 goto 문은 무조건 전송 문이라고 하며, 동일한 함수 내에서 레이블이 지정된 문으로 무조건 제어를 전송할 수 있습니다. 구문은 "goto label;...label: 문;"입니다. C를 제외한 모든 것 C 프로그램에서 goto 문 앞이나 뒤에 설정할 수 있는 키워드 이외의 일반 텍스트입니다.

HMD Skyline에 새로운 색상 옵션과 공식 자석 케이스 추가 Aug 23, 2024 am 07:04 AM

HMD 스카이라인(아마존에서 499달러에 구매 가능)이 지난달 출시 당시 네온 핑크와 트위스티드 블랙 두 가지 색상으로 출시됐다. 그들은 이제 블루 토파즈(Blue Topaz)라고 불리는 세 번째 색상과 합류했습니다. HMD 글로벌도 ph에 대한 공식 사례를 발표했다.

Go 언어에서 goto를 사용하는 방법 Nov 23, 2022 pm 06:40 PM

Go 언어에서 goto 문은 프로그램의 지정된 줄로 무조건 점프하는 데 사용됩니다. 이는 레이블을 사용하여 코드 사이를 무조건 점프합니다. goto 뒤에는 레이블이 옵니다. 이 레이블의 의미는 Go 프로그램에 다음에 실행할 코드 행을 알려주는 것입니다. 구문은 "goto label;... ...label: 표현식;"입니다. goto는 원래 코드 실행 순서를 깨고 지정된 줄로 직접 점프하여 코드를 실행합니다. goto 문은 일반적으로 조건문과 함께 사용되며 조건부 전송을 구현하고 루프를 형성하며 루프 본문에서 점프하는 데 사용할 수 있습니다.

Vue3는 어떻게 설정 구문 설탕을 사용하여 반환 쓰기를 거부합니까? May 12, 2023 pm 06:34 PM

Vue3.2 설정 구문 설탕은 Vue3.0의 번거로운 설정을 해결하기 위해 단일 파일 구성 요소(SFC)에서 결합된 API를 사용하는 컴파일 타임 구문 설탕입니다. 사용 중 문제점 1. 사용 중에 import로 도입된 선언된 변수, 함수 및 컨텐츠를 반환할 필요가 없습니다. //소개된 컨텐츠 가져오기 import{getToday. }from'./utils'//변수 constmsg='안녕하세요!'//함수 func

스위치 케이스 판단 변수 Feb 19, 2024 am 08:04 AM

Switchcase에서는 변수를 결정하기 위해 특정 코드 예제가 필요합니다. 프로그래밍에서는 다양한 변수 값을 기반으로 다양한 작업을 수행해야 하는 경우가 많습니다. switchcase 문은 변수 값에 따라 실행할 다양한 코드 블록을 선택할 수 있는 편리한 구조입니다. 다음은 변수의 다양한 값을 결정하기 위해 switchcase 문을 사용하는 방법을 보여주는 특정 코드 예입니다. #includeintmain(){

자바스크립트 함수 반환값과 반환문에 대한 자세한 설명 Aug 04, 2022 am 09:46 AM

JavaScript 함수는 외부 세계와 상호 작용하는 두 가지 인터페이스를 제공합니다. 매개 변수는 외부 정보를 수신하는 입구 역할을 하며, 반환 값은 작업 결과를 외부 세계에 피드백하는 출구 역할을 합니다. 다음 기사에서는 JavaScript 함수 반환 값을 이해하고 return 문의 사용법을 간략하게 분석하는 데 도움이 되기를 바랍니다.

See all articles