Python反序列化漏洞(入门)

admin 2024年3月24日18:43:18评论9 views字数 1059阅读3分31秒阅读模式

python反序列化漏洞前置知识

漏洞原理

代码中进行了反序列化操作,反序列化魔术方法可以被触发,且反序列化的参数可控

函数使用:

pickle.dump(obj, file) : 将对象序列化后保存到文件

pickle.load(file) : 读取文件, 将文件中的序列化内容反序列化为对象

pickle.dumps(obj) : 将对象序列化成字符串格式的字节流

pickle.loads(bytes_obj) : 将字符串格式的字节流反序列化为对象

魔术方法:

__reduce__()      反序列化时调用

__reduce_ex__()   反序列化时调用

__setstate__()    反序列化时调用

__getstate__()序列化时调用

各类语言序列化和反序列化函数:

Java:Serializable Externalizable接口、fastjson、jackson、gson、ObjectInputStream.read、ObjectObjectInputStream.readUnshared、XMLDecoder.read、ObjectYaml.loadXStream.fromXML、ObjectMapper.readValue、JSON.parseObject等

PHP:serialize()、 unserialize()

Python:pickle marshal PyYAMLshelve PIL unzip

魔术方法利用演示:

__reduce__()和__reduce_ex__()魔术方法:对象被反序列化时自动调用

Python反序列化漏洞(入门)

__setstate__()魔术方法:对象被反序列化时自动调用

Python反序列化漏洞(入门)

__getstate__()魔术方法: 对象被序列化时自动调用

Python反序列化漏洞(入门)

python反序列化漏洞产生演示:

代码中对对象进行了反序列化触发了__reduce__()魔术方法,魔术方法中执行了传递的参数,参数意思是:执行调用计算器的系统命令

Python反序列化漏洞(入门)

修改为对象传递参数值为ipconfig,成功当作系统命令执行

Python反序列化漏洞(入门)

python代码审计工具:bandit

帮助文档:https://bandit.readthedocs.io/en/latest/start.html

安装:pip install bandit

linux:

安装后会在当前Python目录下bin

使用:bandit-r 需要审计的源码目录

windows:

安装后会在当前Python目录下script

使用:bandit-r 需要审计的源码目录

Python反序列化漏洞(入门)

原文始发于微信公众号(小黑子安全):Python反序列化漏洞(入门)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月24日18:43:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Python反序列化漏洞(入门)https://cn-sec.com/archives/2598938.html

发表评论

匿名网友 填写信息