Python反序列化漏洞及魔术方法详细全解(链构造、自动审计工具bandit)

最新推荐文章于 2024-04-26 22:03:48 发布
最新推荐文章于 2024-04-26 22:03:48 发布
阅读量2k 收藏 11
点赞数 4
分类专栏: 序列化与反序列化漏洞 文章标签: 开发语言 web安全 python 序列化反序列化 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62808713/article/details/130048382
版权

目录

一、Python序列化反序列化相关函数

二、Python魔术方法

三、魔术方法实例详解

<__reduce__>

<__setstate__>

<__getstate__>

四、反序列化安全漏洞的产生

五、真题实例

六、CTF-CISCN华北-JWT&反序列化

七、代码审计自动化工具——bandit

一、Python序列化反序列化相关函数

  • pickle.dump(obj, file) :将对象序列化后保存到文件
  • pickle.load(file) :读取文件, 将文件中的序列化内容反序列化为对象。
  • pickle.dumps(obj) :将对象序列化成字符串格式的字节流
  • pickle.loads(bytes_obj) :将字符串格式的字节流反序列化为对象。

二、Python魔术方法

  • __reduce__() :反序列化时调用。
  • __reduce_ex__() :反序列化时调用。
  • __setstate__() :反序列化时调用。
  • __getstate__() :序列化时调用。

三、魔术方法实例详解

<__reduce__>

1.代码。

2.运行结果。 

<__setstate__>

1.代码。

 2.运行结果。 

<__getstate__>

1.代码。

 2.运行结果。 

四、反序列化安全漏洞的产生

1.代码。

​​​

2.运行结果。

3.当我们将调用计算器的代码更改为“ipconfig”后,执行代码可以看到成功执行了命令。

4.总结:

        魔术方法执行调用下面的代码,如果下面的代码可控的话,就可能存在反序列化漏洞。 

五、真题实例

1.环境介绍:

        利用Python-fask搭建的web应用,获职当前用户的信息,进行展示,在获取用户的信息时,通过对用户数据进行反序列化获取导致的安全漏洞! 

2.代码片段。

3.打开。

4.攻击思路:

        在cookie内植入user值,user值就是生成的恶意序列化数据。

5.构造exp。

6.执行得到序列化代码。

7.在源代码中得知其会进行一次base64解码,所以我们需要对上面得到的序列化代码进行一次编码。对代码进行下面的修改。

8.再次执行得到编码后的序列化代码。

9.抓取数据包,在数据包内添加下面的内容。

10.放包后可以看到计算器成功弹出。

六、CTF-CISCN华北-JWT&反序列化

1.通过提示:

        寻找LV6 -> 购买修改支付逻辑 -> 绕过admin限制需修改jwt值 -> 爆破jwt密匙 -> 重组jwt值成为admin -> 购买进入会员中心 -> 源码找到文件压缩源码 -> Python代码南计反序列化 -> 构造读取flag代码进行序列化打印 -> 提交获取。

2.考点:

  • 考点一:JWT 身份验证
  • 考点二:Python 代码审计 反序列化

3.找到并将靶场环境打开。

4.打开后页面如下。

5.可以看到目的是买到v6。

6.因为它分好多页,所以可以使用脚本来爬取找到v6。

7.用来爬取的代码如下图所示。

8. 可以看到在第180页内找到了。

9.点击购买后跳转到了登陆页面。

10.注册好后再次点击购买可以看到调换到了下面的页面。

11.但是点击结算后就又跳转到了下面的页面。

12.这是因为我们的存款不够购买v6的。

13.我们重新点击结算后抓包。

14.将上面数据包内的0.8(打的折)改成超级小的数。

15.放包后却又得到了下面的返回结果。

16.重新抓取数据包后我们注意到了数据包内的JWT值。

17.我们将其粘贴到官网后进行解密,得到下面的结果。

18.使用脚本破解密匙。

19.将破解后的密匙填入后将username更改成admin,得到新的JWT值。

20.将其粘贴到数据包内后再次放包。

21.可以看到这次网站成功进行了执行。

22.但是当我们点击下面的一键成为大会员后网页却没有反应。

23.此时查看网页源代码后可以看到下面的内容。

24.将其进行下载解压后打开,可以看到下面的内容。

25. 可以得知是网站原码,我们将其打开后进行分析。

26.我们直接使用搜索功能搜索序列化相关内容。

27.定位后可以看到调用序列化的函数。

28.经过分析得知其是python2进行编码的,因此我们使用python构造payload。

 29.执行后可以看到成功构造了payload。

30.将value值改成我们刚刚生成的payload。

31.更改后再次点击一键成为大会员,可以看到成功获取到了flag。 

七、代码审计自动化工具——bandit

1.参考:

GitHub - PyCQA/bandit: Bandit is a tool designed to find common security issues in Python code.

Test Plugins — Bandit documentation

2.安装: pip install bandit

  • linux

        安装后会在当前Python目录下bin

        使用: bandit-r 需要审计的源码目录

  • windows

        安装后会在当前Python目录下script

        使用: bandit -r 需要审计的源码目录

3.实操示例。

ranzi.
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
Java序列化反序列化与无参构造函数
loongshawn的博客
05-24 4150
https://blog.csdn.net/zh15732621679/article/details/79803105
protobuf序列化反序列化工具
qq_33093885的博客
02-18 1050
序列化反序列化工具的使用
用生成器实现斐波那契数列。
weixin_44906474的博客
10-08 998
生成器 在 Python 中,使用了 yield 的函数被称为生成器(generator)。 跟普通函数不同的是,生成器是一个返回迭代器的函数,只能用于迭代操作,更简单点理解生成器就是一个迭代器。 在调用生成器运行的过程中,每次遇到 yield 时函数会暂停并保存当前所有的运行信息,返回 yield 的值, 并在下一次执行 next() 方法时从当前位置继续运行。 调用一个生成器函数,返回的是一个迭代器对象。 用生成器实现斐波那契数列。 def libs(n): a = 0 b = 1
python序列化反序列化
weixin_49520696的博客
10-28 47
【代码】python序列化反序列化
Python_序列化和反序列号
qq_33279544的博客
05-30 219
序列化反序列化 1.为什么要反序列化?什么是序列化? 1.1定义 seralization 序列化 ​ 将内存中对象存储下来,把它变成一个一个的字节.(数据解构–>二进制) deserializtion 反序列化 ​ 将文件恢复成一个一个的内存中的对象.二进制—>数据结构 1.2为什么要反序列化序列化? 内存中的字典,列表,集合,以及各种对象如何保存到一个文件中? 如果是自己定义的类实例,如何保存到一个文件中? 如何从文件中读取数据?并让他们在内存中再次恢复成自己对应的类实例? 遵循一套协
Python反序列化
qq_61209261的博客
07-31 1402
python反序列化
python 反序列化
m0_62970186的博客
04-03 5286
python 反序列化
Python反序列化漏洞(入门)
xiaoheizi的博客
07-02 290
_reduce__()魔术方法魔术方法中执行了传递的参数,参数意思是:执行调用计算器的系统命令。__reduce__()和__reduce_ex__()魔术方法:对象被反序列化自动调用。__setstate__()魔术方法:对象被反序列化自动调用。__getstate__()魔术方法: 对象被序列化自动调用。读取文件, 将文件中的序列化内容反序列化为对象。安装后会在当前Python目录下script。将字符串格式的字节流反序列化为对象。安装后会在当前Python目录下。parseObject等。
反序列化魔术方法的浅学习
quan9i的博客
05-13 2180
前言 学习反序列化,那么就需要首先掌握魔术方法的使用,本篇文章将尽可能详细的讲解反序列化魔术方法,博主只是小白,如有问题还请各位师傅多多指点! 魔术方法 常见魔术方法有以下几种 __construct: 在创建对象时候初始化对象,一般用于对变量赋初值。 __destruct: 和构造函数相反,当对象所在函数调用完毕后执行。 __call:当调用对象中不存在的方法会自动调用该方法。 __get():获取对象不存在的属性时执行此函数。 __set():设置对象不存在的属性时执行此函数。 __toString
Python 序列化反序列化(pickle 标准库的使用)
qq_42681787的博客
11-09 2097
在计算机网络通信中,不同机器间的通讯需要采用约定的协议,而序列化反序列化就是属于通讯协议的一部分。通讯协议往往采用分层模型,不同模型每层的功能定义以及颗粒度不同,例如:TCP/IP协议是一个四层协议,而OSI模型却是七层协议模型。在OSI七层协议模型中展现层(Presentation Layer)的主要功能是把应用层的对象转换成一段连续的二进制串,或者反过来,把二进制串转换成应用层的对象--这两个功能就是序列化反序列化序列化: 将数据结构或对象转换成二进制串的过程。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
python反序列化漏洞 任意代码执行
01-20
这篇博客我将介绍 python反序列化漏洞 任意代码执行 那么怎么反序列化中运行任意代码呢? 首先要说说__reduce__这个魔术方法, 这个方法用来表明类的对象应当如何序列化, 当其返回tuple类型时就可以实现任意代码...
《前端面试题》- TypeScript - TypeScript的优/缺点
小张微说的博客
04-22 882
问题 简述TypeScript的优/缺点 答案 优点 增强了代码的可读性和可维护性 包容性,js可以直接改成ts,ts编译报错也可以生成js文件,兼容第三方库,即使不是ts编写的 社区活跃,完全支持es6 缺点 增加学习成本 增加开发成本,因为增加了类型定义 需要编译,类型检查会增加编译时长,语法和类型系统复杂的话时间特别特别长 eval和new Function()这种操作类型系统管不到 ...
【网络安全安全事件管理处置 — 安全事件处置思路指导
最新发布
享你所想
04-26 492
一、处理DDOS事件 1.准备工作 2.预防工作 3.检测与分析 4.限制、消除 5.证据收集 二、处理恶意代码事件 1.准备 2.预防 3.检测与分析 4.限制 5.证据收集 6.消除与恢复 三、处理未授权访问事件 1.准备 2.预防 3.检测与分析 4.限制、消除 5.证据收集 6.恢复 四、处理复合型安全事件 1.建议
从内部防护汽车网络安全——硬件安全模块(HSM)保护ECU主处理器内部
dianqicyuyan的博客
04-23 264
HSM是一种硬件,它以物理方式封装了安全功能。其集成芯片专为IT安全应用而设计,通常具有自己的处理器核心、各种内存(RAM、ROM、闪存等)和硬件密码加速器。此外,HSM必须满足用于车辆应用的特定标准,并且极其有效的集成对于降低成本至关重要。其主要要求包括ECU应用程序和HSM之间的安全接口,以及用于分析故障的调试/测试接口。HSM必须能够以尽可能短的等待时间处理加密信息,并能够承受汽车环境中的标准温度。从根本上说,HSM通过其自己的处理器核心来执行汽车应用场景所需的所有IT安全功能。
网络安全(黑客技术)—2024自学
TDJYGC的博客
04-17 1455
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
python反序列化漏洞
09-12
Python 反序列化漏洞是指在使用 Python 的 pickle 模块对数据进行反序列化时存在的安全风险。在反序列化过程中,攻击者可以构造恶意的序列化数据,通过利用漏洞来执行任意代码或者实现拒绝服务攻击。 这种漏洞的发生通常是由于 pickle 模块在反序列化时会调用对象的 `__reduce__` 或 `__reduce_ex__` 方法,这些方法用于确定如何重新构造对象。攻击者可以通过构造恶意的序列化数据使得在重新构造对象时触发任意代码执行。这种漏洞可能导致系统的完全控制,因此在处理从不受信任的来源获取的序列化数据时应格外小心。 为了防止这种漏洞的发生,可以采取以下几个措施: 1. 不要从不受信任的来源加载或反序列化数据。 2. 尽量避免使用 pickle 进行反序列化,可以考虑使用其他安全性更好的序列化工具,如 JSON。 3. 如果必须使用 pickle,可以对反序列化过程进行严格的输入验证和过滤,只允许特定类型的对象被反序列化。 4. 对于需要反序列化的数据,可以使用沙盒环境 isolated execution 来限制其访问权限,减少安全风险。 总之,反序列化漏洞是一个常见的安全问题,使用反序列化功能时需要格外小心,并采取相应的防护措施来保障系统的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ranzi.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值