php反序列unserialize的一个小特性

最新推荐文章于 2024-11-25 10:34:23 发布
转载 最新推荐文章于 2024-11-25 10:34:23 发布 · 551 阅读 · 0

本文探讨了PHP中unserialize函数的一个小特性,即在特定序列化字符串前添加‘+’号不会影响其解析结果。文章还尝试利用这一特性绕过WordPress的安全补丁,并分享了实验过程及心得。

  wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。

  1.unserialize()函数相关源码:

  ?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
17
18
if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);
        yych = *YYCURSOR;
        switch (yych) {
        case 'C':
        case 'O':        goto yy13;
        case 'N':        goto yy5;
        case 'R':        goto yy2;
        case 'S':        goto yy10;
        case 'a':        goto yy11;
        case 'b':        goto yy6;
        case 'd':        goto yy8;
        case 'i':        goto yy7;
        case 'o':        goto yy12;
        case 'r':        goto yy4;
        case 's':        goto yy9;
        case '}':        goto yy14;
        default:        goto yy16;
        }
scfrd.info;
xswft.info;
cghjk.info;
xdefy.info;
edgjk.info;
zsdcf.info;
wgukp.info;
xdswe.info;
nghty.info;
xkrfk.info;
 

  上边这段代码是判断序列串的处理方式,如序列串O:4:"test":1:{s:1:"a";s:3:"aaa";},处理这个序列串,先获取字符串第一个字符为O,然后case 'O': goto yy13

  yy13:

  yych = *(YYMARKER = ++YYCURSOR);

  if (yych == ':') goto yy17;

  goto yy3;

  从上边代码看出,指针移动一位指向第二个字符,判断字符是否为:,然后 goto yy17

  ?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
yy17:
        yych = *++YYCURSOR;
        if (yybm[0+yych] & 128) {
                goto yy20;
        }
        if (yych == '+'goto yy19;
  
 .......
  
yy19:
        yych = *++YYCURSOR;
        if (yybm[0+yych] & 128) {
                goto yy20;
        }
        goto yy18;

  从

  上边代码看出,指针移动,判断下一位字符,如果字符是数字直接goto yy20,如果是'+'就goto

  yy19,而yy19中是对下一位字符判断,如果下一位字符是数字goto yy20,不是就goto

  yy18,yy18是直接退出序列处理,yy20是对object性的序列的处理,所以从上边可以看出:

  O:+4:"test":1:{s:1:"a";s:3:"aaa";}

  O:4:"test":1:{s:1:"a";s:3:"aaa";}

  都能够被unserialize反序列化,且结果相同。

  2.实际测试:

  ?

1
2
3
4
5
6
7
<?php
var_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}'));
var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}'));
?>
输出:
object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4"test"["a"]=> string(3"aaa" 
object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4"test"["a"]=> string(3"aaa" }

  其实,不光object类型处理可以多一个'+',其他类型也可以,具体测试不做过多描述。

  3.我们看下wp的补丁:

  ?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
function is_serialized( $data$strict = true ) {
        // if it isn't a string, it isn't serialized
        if ( ! is_string$data ) )
                return false;
        $data = trim( $data );
         if 'N;' == $data )
                return true;
        $length strlen$data );
        if $length < 4 )
                return false;
        if ':' !== $data[1] )
                return false;
        if $strict ) {//output
                $lastc $data$length - 1 ];
                if ';' !== $lastc && '}' !== $lastc )
                        return false;
        else {//input
                $semicolon strpos$data';' );
                $brace     strpos$data'}' );
                // Either ; or } must exist.
                if ( false === $semicolon && false === $brace )
                        return false;
                // But neither must be in the first X characters.
                if ( false !== $semicolon && $semicolon < 3 )
                        return false;
                if ( false !== $brace && $brace < 4 )
                        return false;
        }
        $token $data[0];
        switch $token ) {
                case 's' :
                        if $strict ) {
                                if '"' !== $data$length - 2 ] )
                                        return false;
                        elseif ( false === strpos$data'"' ) ) {
                                return false;
                        }
                case 'a' :
                case 'O' :
                        echo "a";
                        return (bool) preg_match( "/^{$token}:[0-9]+:/s"$data );
                case 'b' :
                case 'i' :

  补丁中的

  return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

  可以多一个'+'来绕过,虽然我们通过这个方法把序列值写入了数据库,但从数据库中提取数据,再次验证的时候却没法绕过了,我这个加号没能使数据进出数据库发生任何变化,我个人认为这个补丁绕过重点在于数据进出数据的前后变化。

  4.总结

  虽热没有绕过wp补丁,但这个unserialize()的小特性可能会被很多开发人员忽略,导致程序出现安全缺陷。

  以上的分析有什么错误请留言指出。

ps6c749qk2
关注
【网络安全 | CTF】记一次PHP序列序列化解题详析
等风来
08-24 5844
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
PHP序列
最新发布
这个人很懒,什么都懒得写
01-17 873
学习序列
3.level3-[XCTF-unserialize3]-[CVE-2016-7124]
qwsn
11-19 324
0x01、Web 1.XCTF-unserialize3 第一步:开启环境 图略 第二步:访问题目链接,发现了一段php代码,如下所示 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-95BsdC0I-1605762236401)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20201107140737760.png)] 第三步:分析代码,很明显这里有一个魔术方法__wakeup,
php unserialize false,php序列unserialize一个特性
weixin_28523493的博客
03-10 142
这几天wordpress的那个序列漏洞比较火,具体漏洞我就不做分析了,看看这个:《WordPress < 3.6.1 PHP 对象注入漏洞》你也可以去看英文的原文wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize一个特性,在此和大家分享一下。1.unserialize()函数相关源码:Defaul...
XCTF-高手进阶区:unserialize3
1stPeak's Blog
06-24 4032
XCTF-高手进阶区-第六题:unserialize3 目标: 了解php序列化中__wakeup漏洞的利用 了解php魔术方法 __construct(), __destruct(), __call(), __callStatic(), __get(), __set(), __isset(), __unset(), __sleep(), __wakeup(), __toStri...
XCTF-unserialize3
weixin_45613760的博客
08-04 438
XCTF-unserialize3看到题目知道考察的是序列化与序列化的知识下面是一个示例然后我们需要了解魔法方法__wakeup()看题传入序列化后的字符串利用__wakeup()漏洞 看到题目知道考察的是序列化与序列化的知识 序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 序列化(串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 下面是一个示例 <?php class test { public $flag = "flag{xct
PHP序列化入门教程(一)
weixin_46003602的博客
08-19 1095
知识点:1、PHP-序列化-应用&识别&函数2、PHP-序列化-魔术方法&触发规则3、PHP-序列化-联合漏洞&POP链构造在实战情况下,是不需要知道这些具体分析的,都是利用工具去扫一些框架爆出的序列话漏洞直接利用即可。学这些具体分析就是为了以后往漏洞挖掘方向发展或者打CTF比赛及面试会被问。
php序列化1_常见php序列化的CTF考题
书山有路勤为径,学海无涯苦作舟
11-25 1886
本质上serialize()和unserialize()在php内部的实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象,魔术函数以及序列化相关问题时导致的。当传给unserialize()的参数可控时,那么用户就可以注入精心构造的payload当进行序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。__toString() 是魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法以下说明摘自PHP官方手册。
php序列化与序列化详解
10-20
需要注意的是,PHP序列一个对象时,会自动调用对象的__wakeup()方法(如果该对象类定义了这个方法),以允许对象恢复它在序列化时未能保留的状态,如打开的数据库连接等。 在使用序列化数据进行网络传输时,...
详解php微擎函数:serialize()和unserialize()!
一亩地的专栏
08-23 999
php的serialize()函数和unserialize()函数 1、serialize() 适用情境:serialize()返回字符串,此字符串包含了表示value的字节流,可以存储于任何地方。这有利于存储或传递 PHP 的值,同时不丢失其类型和结构。比较有用的地方就是将数据存入数据库或记录在文件中的时候 serialize()可处理处资源类型外所有的类型,也可以序列化对象 &lt;?...
攻防世界-unserialize3题
weixin_46784800的博客
11-14 1011
攻防世界-unserialize3题 _wakeup()函数 顾名思义,与sleep函数相对应,sleep函数用做睡眠,wake_up函数用作唤醒。 在序列化和序列化的过程中会经常用到wake_up函数,在序列化时,即执行 unserialize() 函数时,会首先检查实例化对象中是否含有wake_up函数,若含有,则首先调用执行wake_up函数。 wake_up函数的作用: 经常用在序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。 序列化: 将对象转换成字符串。字符串包括 属性
unserialize 序列化对象问题
weixin_34375233的博客
12-20 179
今天测试代码在序列一个序列化的对象时,出现 “__PHP_Incomplete_Class”,序列化的结果是一个不完整的Object类。 《php 手册》 中的描述: 如果在解序列化的时候需要实例化一个未定义类,则可以设置回调函数以供调用(以免得到的是不完整的 object “__PHP_Incomplete_Class”)。可通过 php.ini、i...
mysql unserialize_php序列unserialize一个特性与利用
weixin_42300525的博客
02-27 205
一、unserialize()函数特性wordpress存在一个序列漏洞比较火,具体漏洞可以看这篇:http://drops.wooyun.org/papers/596,也可以去看英文的原文:http://vagosec.org/2013/09/wordpress-php-object-injection/。wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有...
攻防世界-web-unserialize3
uh_eng的博客
07-31 156
0x01 打开链接能看到一段PHP代码: 根据题目给出的序列提示,推测应该是利用了PHP序列漏洞,主要目的还是要绕过__wakeup()的执行,于是尝试CVE-2016-7124漏洞,即:如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup( )的执行。 0x02 构造payload如下:(xctf:后面的2也可以换成任何大于1的数) ?code=O:4:"xctf":2{s:4:"flag";s:3:"111";} ...
微擎函数iserializer和iunserializer序列化函数
hello_小宇的博客
02-01 8351
数组的序列化: $arr = array('url'=>'www.phpos.net','function','num'=>99,'question'=>'您喜欢哪个网站?','answer'=>array('微信网','腾讯网','百度网')); var_dump(iserializer($arr));   结果: string 'a:5:{s:3:"url
XCTF-攻防世界CTF平台-Web类——10、unserialize3(序列化漏洞绕过__wakeup()函数)
Onlyone_1314的博客
11-21 2633
打开题目地址: 发现是一段残缺的php代码 题目名称unserialize3就是序列化,要求我们通过序列化漏洞绕过__wakeup()函数。 相关概念: 序列化:   序列化(Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或序列化对象的状态,重新创建该对象。 php序列化和序列化   php序列化和序列化由serialize()和unserialize()这两个函数来完成。s
微擎二级分类分析
微道道的博客
08-03 1879
function tpl_form_field_category_pfxm2level($namepfxm, $parentpfxms, $childrenpfxm, $pingfenid1, $pingfenid2){ $html = ' window._' . $namepfxm . ' = ' . json_encode($childrenpfxm) . '; ';
深入理解PHP序列化机制
PHP中,序列化是一个至关重要的概念,它允许我们把之前通过序列化过程保存的字节流(通常是存储在文件或数据库中的字符串)恢复为原始的PHP值。这在数据传输、持久化存储等方面非常有用。本文将深入探讨PHP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值