php反序列unserialize的一个小特性

这几天wordpress的那个反序列漏洞比较火,具体漏洞我就不做分析了,看这篇吧http://drops.wooyun.org/papers/596,你也可以去看英文的原文http://vagosec.org/2013/09/wordpress-php-object-injection/。

wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。

1.unserialize()函数相关源码:

if ((yylimit – yycursor) < 7) yyfill(7); yych = *yycursor; switch (yych) { case 'c': case 'o': goto yy13; case 'n': goto yy5; case 'r': goto yy2; case 's': goto yy10; case 'a': goto yy11; case 'b': goto yy6; case 'd': goto yy8; case 'i': goto yy7; case 'o': goto yy12; case 'r': goto yy4; case 's': goto yy9; case '}': goto yy14; default: goto yy16; }

上边这段代码是判断序列串的处理方式,如序列串o:4:”test”:1:{s:1:”a”;s:3:”aaa”;},处理这个序列串,先获取字符串第一个字符为o,然后case ‘o’: goto yy13

yy13:

yych = *(yymarker = ++yycursor);

if (yych == ‘:’) goto yy17;

goto yy3;

从上边代码看出,指针移动一位指向第二个字符,判断字符是否为:,然后 goto yy17

yy17:
yych = *++yycursor;
if (yybm[0+yych] & 128) {
goto yy20;
}
if (yych == ‘+’) goto yy19;
…….
yy19:
yych = *++yycursor;
if (yybm[0+yych] & 128) {
goto yy20;
}
goto yy18;

上边代码看出,指针移动,判断下一位字符,如果字符是数字直接goto yy20,如果是’+’就goto

yy19,而yy19中是对下一位字符判断,如果下一位字符是数字goto yy20,不是就goto

yy18,yy18是直接退出序列处理,yy20是对object性的序列的处理,所以从上边可以看出:

o:+4:”test”:1:{s:1:”a”;s:3:”aaa”;}

o:4:”test”:1:{s:1:”a”;s:3:”aaa”;}

都能够被unserialize反序列化,且结果相同。

2.实际测试:

Posted in 未分类