php反序列unserialize的一个小特性

这几天wordpress的那个反序列漏洞比较火,具体漏洞我就不做分析了,看看这个:《WordPress < 3.6.1 PHP 对象注入漏洞 》你也可以去看英文的原文

wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。

1.unserialize()函数相关源码:

上边这段代码是判断序列串的处理方式,如序列串O:4:”test”:1:{s:1:”a”;s:3:”aaa”;},处理这个序列串,先获取字符串第一个字符为O,然后case ‘O’:  goto yy13

从上边代码看出,指针移动一位指向第二个字符,判断字符是否为:,然后 goto yy17

从上边代码看出,指针移动,判断下一位字符,如果字符是数字直接goto yy20,如果是’+’就goto yy19,而yy19中是对下一位字符判断,如果下一位字符是数字goto yy20,不是就goto yy18,yy18是直接退出序列处理,yy20是对object性的序列的处理,所以从上边可以看出:

都能够被unserialize反序列化,且结果相同。

2.实际测试:

输出:

其实,不光object类型处理可以多一个’+’,其他类型也可以,具体测试不做过多描述。

3.我们看下wp的补丁:

补丁中的

可以多一个’+’来绕过,虽然我们通过这个方法把序列值写入了数据库,但从数据库中提取数据,再次验证的时候却没法绕过了,我这个加号没能使数据进出数据库发生任何变化,我个人认为这个补丁绕过重点在于数据进出数据的前后变化。

4.总结
虽热没有绕过wp补丁,但这个unserialize()的小特性可能会被很多开发人员忽略,导致程序出现安全缺陷。
以上的分析有什么错误请留言指出。

5.参考
《WordPress < 3.6.1 PHP Object Injection》
http://vagosec.org/2013/09/wordpress-php-object-injection/
《var_unserializer.c源码》
https://github.com/php/php-src/b … /var_unserializer.c
《PHP string序列化与反序列化语法解析不一致带来的安全隐患》
http://zone.wooyun.org/content/1664

[via@90sec(L.N.)]