Python反序列化漏洞(入门)

最新推荐文章于 2023-10-05 13:37:49 发布
最新推荐文章于 2023-10-05 13:37:49 发布
阅读量309 收藏 5
点赞数 1
分类专栏: 反序列化漏洞合集 文章标签: web安全 python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51345235/article/details/131503800
版权

python反序列化漏洞前置知识

漏洞原理

代码中进行了反序列化操作,反序列化魔术方法可以被触发,且反序列化的参数可控

函数使用:

pickle.dump(obj, file) : 将对象序列化后保存到文件

pickle.load(file) : 读取文件, 将文件中的序列化内容反序列化为对象

pickle.dumps(obj) : 将对象序列化成字符串格式的字节流

pickle.loads(bytes_obj) : 将字符串格式的字节流反序列化为对象

 

魔术方法:

__reduce__()      反序列化时调用

__reduce_ex__()   反序列化时调用

__setstate__()    反序列化时调用

__getstate__()    序列化时调用

 

各类语言序列化和反序列化函数:

Java: Serializable Externalizable接口、fastjson、jackson、gson、ObjectInputStream.read、ObjectObjectInputStream.readUnshared、XMLDecoder.read、ObjectYaml.loadXStream.fromXML、ObjectMapper.readValue、JSON.parseObject等

PHP: serialize()、 unserialize()

Python:pickle  marshal  PyYAML  shelve  PIL  unzip

 

魔术方法利用演示:

__reduce__()和__reduce_ex__()魔术方法:对象被反序列化时自动调用

 

__setstate__()魔术方法:对象被反序列化时自动调用

 

__getstate__()魔术方法: 对象被序列化时自动调用

 

 

python反序列化漏洞产生演示:

代码中对对象进行了反序列化触发了__reduce__()魔术方法,魔术方法中执行了传递的参数,参数意思是:执行调用计算器的系统命令

 

修改为对象传递参数值为ipconfig,成功当作系统命令执行

 

 

python代码审计工具:bandit

帮助文档:https://bandit.readthedocs.io/en/latest/start.html

安装:pip install bandit

linux:

安装后会在当前Python目录下bin

使用:bandit -r 需要审计的源码目录

 

windows:

安装后会在当前Python目录下script

使用:bandit -r 需要审计的源码目录

 

 

 

 

xiaoheizi安全
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
python反序列化漏洞 任意代码执行
01-20
这篇博客我将介绍 python反序列化漏洞 任意代码执行 那么怎么反序列化中运行任意代码呢? 首先要说说__reduce__这个魔术方法, 这个方法用来表明类的对象应当如何序列化, 当其返回tuple类型时就可以实现任意代码...
Python Pickle反序列化漏洞
Lemon's blog
11-15 4486
前言: 刷题的时候做了一道[CISCN2019]ikun的题目,提示考察的知识点是Python Pickle,之前接触的都是有关PHP反序列化,这次就来好好学习一下Python Pickle反序列化漏洞。 基础知识 0x00:Pickle库及函数 pickle是python语言的一个标准模块,实现了基本的数据序列化和反序列化。 pickle模块是以二进制的形式序列化后保存到文件中(保存文件的后缀为.pkl),不能直接打开进行预览。 函数 说明 dumps 对象反序列化为bytes对象
python pickle漏洞
weixin_44687621的博客
07-27 598
python反序列化漏洞 1.使用pickle库对对象进行序列化和反序列化操作 json反序列化 import json dict={"admin":"123"} json_info = json.dumps(dict) print(str(type(json_info))+json_info) dict1=json.loads(json_info) print(str(type(dict1))) print(dict) pickle反序列化 import pickle class Test:
网络安全-反序列化漏洞简介、攻击与防御
热门推荐
关注网络安全、云原生安全
03-13 1万+
目录 简介 PHP序列化 Python序列化 攻击 PHP举例 Python举例 防御 参考 简介 各种语言都有反序列化漏洞,Java、PHP、Python等。序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象,也就是序列化的逆过程。 PHP序列化 php中序列化和反序列化函数为serialize、unserialize。 我们尝试对一些类型进行序列化 <?php // 字符串类型 $s = "a string"; $serializ
Python反序列化漏洞及魔术方法详细全解(链构造、自动审计工具bandit)
ran的博客
04-17 2125
魔术方法执行调用下面的代码,如果下面的代码可控的话,就可能存在反序列化漏洞。pickle.dump(obj, file) :将对象序列化后保存到文件。 pickle.load(file) :读取文件, 将文件中的序列化内容反序列化为对象。 pickle.dumps(obj) :将对象序列化成字符串格式的字节流。 pickle.loads(bytes_obj) :将字符串格式的字节流反序列化为对象。寻找LV6 -> 购买修改支付逻辑 -> 绕过admin限制需修改jwt值 -> 爆破jwt密匙 -> 重组jw
PyYaml反序列化漏洞
snowlyzz的博客
05-08 983
pyyaml 反序列化 简洁总结
PyYaml反序列化漏洞详解
2302_76827504的博客
04-27 548
果listitems不为空,则调用instance的extend()方法,将listitems中的所有元素添加到instance列表对象的末尾,instance是我们创建的实例,这里并没有定义listitems是什么,如果我们的listitems是一个字典,而且其内容有"{‘extend’:function}",这样的话,我们就可以利用extend进行任意函数的执行了。在这个方法中,data是一个包含YAML格式字符串的变量,可以是从文件中读取的字符串,也可以是用户输入的字符串等。ddd的值为666。
Python Pickle 反序列化漏洞
最新发布
qq_46001025的博客
10-05 200
需要注意的一点:注意:对于我们自己定义的class,如果直接以 data=‘aaa’ 的方式赋初值,则这个date不会被打包,解决方案是写一个__init__()方法。python反序列化漏洞的产生和php的魔术方法有异曲同工之处,在Python2中的 __reduce__() 方法,会在每次的反序列化开始或结束时调用。字节码,如果python有写入的权限,那么会生成一个 .pyc 的字节码文件,若没有那就再内存中生成字节码,程序结束后丢弃。(以下称为机器吧)维护了两个东西:栈区和存储区。
python pickle反序列化漏洞
weixin_43610673的博客
05-20 2913
前置知识 什么是pickle pickle是Python专用的一个进行序列化和反序列化的工具包,pickle能表示Python几乎所有的类型(包括自定义类型),由一系列opcode组成,模拟了类似堆栈的内存。 与PHP序列化或者JSON,这些以键值对形式存储序列化对象数据的不同,pickle 序列化(Python独有)是将一个 Python 对象及其所拥有的层次结构变成可以持久化储存的二进制数据,无法像JSON 一样直观阅读。在Python中,采用术语 封存 (pickling)和 解封 (unpickli
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
weblogic反序列化漏洞验证脚本(python版)对4.18最新漏洞检测
05-11
weblogic最新漏洞的检测,自己已经测试,可以使用,在使用之前系统要安装python和修改py文件中的ip和weblogic端口
详解Python 序列化Serialize 和 反序列化Deserialize
09-21
主要介绍了详解Python 序列化Serialize 和 反序列化Deserialize的相关资料,序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。这两个过程结合起来,可以轻松地存储和传输数据,需要的朋友可以参考下
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Python】Pickle/PyTorch反序列化漏洞
兴趣使然的创作者
02-28 1216
一个漏洞
python安全之Pickle反序列化漏洞学习。
Mrs_H的博客
10-28 1782
前言 写这篇文章的起因是两次遇到python pickle的题目都只做到了命令执行的程度,但都没有反弹shell。看别人的wp都是通过curl将flag拉到vps上的,怎么说呢,死于没有公网IP。虽然之前在做题的时候,照着网上的exp可以把自己的payload改个七七八八,但是说实话我距离真正意义上的“手撸”opcode还是有着一段距离。这篇文章主要还是通过我所遇到的pickle反序列化题目出发进行编写,当然也少不了pickle的原理部分。 正文 在正式开始这篇文章之前,我想先贴出一位大佬的文章Pion1e
python安全开发——Web2 WriteUp反序列化漏洞
m0_61506558的博客
10-08 440
我们不妨把状态码改一下,admin.py 存在反序列化pickle.loads(),看不懂代码的看这个。将生成的 payload 传给 become 传入服务器可成功回显 flag。找密钥,正是刚才注册的 id,就想着这里能不能未授权登陆管理员账号。找page,使用sleep()函数是为了防止安全狗封IP。访问181,创建了一个账号,查看余额,远远不够买 lv6。出 JWT 的 key 为 1Kun。好家伙,垂直越权,找cookie。JWT非常熟悉,上星期刚刚挖过它。前端验证,F12修改打折的数目。
浅谈Python Pickle反序列化
YJ_12340的博客
11-11 738
序列化说白了就是将对象转换成字节流,便于保存在内存、文件或者是数据库中;反序列化则是序列化的逆过程,将字节流还原成对象。
python反序列化漏洞防御
09-13
要防止Python反序列化漏洞,您可以采取以下几种措施: 1. 验证和过滤输入:在反序列化之前,验证和过滤所有传入的数据。确保只接受可信任和预期的数据,并拒绝任何可能包含恶意代码的输入。 2. 使用安全反序列化库:选择使用具有安全特性的反序列化库,如JSON或MessagePack。这些库实现了一些安全措施来防止常见的反序列化漏洞。 3. 限制反序列化的可用类:在反序列化之前,限制可以被反序列化的类的范围。可以通过白名单机制,只允许反序列化特定的类,并拒绝其他类的反序列化操作。 4. 更新Python版本:保持您的Python环境更新到最新版本,并及时应用安全补丁。新版本通常会修复已知的安全漏洞,并提供更强大的安全特性。 5. 沙箱环境:在处理不可信任的反序列化数据时,可以考虑在受控的沙箱环境中执行反序列化操作。这样即使存在漏洞,也可以限制对系统的潜在危害。 6. 安全审查:定期进行代码审查和安全审计,以识别和修复潜在的反序列化漏洞。这可以帮助您发现并纠正代码中的安全问题。 请注意,这些措施并不能保证完全防止所有类型的反序列化漏洞,因此在编写和使用具有反序列化功能的代码时,始终要保持警惕并遵循最佳安全实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoheizi安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值