Python反序列化漏洞及魔术方法详细全解（链构造、自动审计工具bandit）

古城微笑少年丶 2023-09-25 22:52 8阅读 0赞

**目录**

一、Python序列化反序列化相关函数

二、Python魔术方法

三、魔术方法实例详解

<\_\_reduce\_\_>

<\_\_setstate\_\_>

<\_\_getstate\_\_>

四、反序列化安全漏洞的产生

五、真题实例

六、CTF-CISCN华北-JWT&反序列化

七、代码审计自动化工具——bandit

--------------------

# 一、Python序列化反序列化相关函数 #

*  pickle.dump(obj, file) ：将对象序列化后保存到文件。
 *  pickle.load(file) ：读取文件， 将文件中的序列化内容反序列化为对象。
 *  pickle.dumps(obj) ：将对象序列化成字符串格式的字节流。
 *  pickle.loads(bytes\_obj) ：将字符串格式的字节流反序列化为对象。

# 二、Python魔术方法 #

*  \_\_reduce\_\_() ：反序列化时调用。
 *  \_\_reduce\_ex\_\_() ：反序列化时调用。
 *  \_\_setstate\_\_() ：反序列化时调用。
 *  \_\_getstate\_\_() ：序列化时调用。

# 三、魔术方法实例详解 #

## <\_\_reduce\_\_> ##

1.代码。

![db7034a7b782402bb3b84fb5b7111a38.png][]

2.运行结果。

![87dfc257ba30434fb99160725faf37d3.png][]

## <\_\_setstate\_\_> ##

1.代码。

![44da0ffc576a44f98466a9abbd52d772.png][]

2.运行结果。

![88a3a849e4d34f79a209864a508a75b8.png][]

## <\_\_getstate\_\_> ##

1.代码。

![2602d303435648138ab02bd8660cbb86.png][]

2.运行结果。

![513c6455718c4bb78beb9091794e052e.png][]

# 四、反序列化安全漏洞的产生 #

1.代码。

![d73fe9347452431eaebb119c53f667fd.png][]

![c1f798eda3294a288316b6b40ccf9272.png][]

2.运行结果。

![d432b5f1911b44499ee699e4a978db74.png][]3.当我们将调用计算器的代码更改为“ipconfig”后，执行代码可以看到成功执行了命令。

![2597b9557c0945258fd42fa30e030c32.png][]

4.**总结：**

魔术方法执行调用下面的代码，如果下面的代码可控的话，就可能存在反序列化漏洞。

# 五、真题实例 #

1.环境介绍：

利用Python-fask搭建的web应用，获职当前用户的信息，进行展示，在获取用户的信息时，通过对用户数据进行反序列化获取导致的安全漏洞!

2.代码片段。

![105d9d183f6b4a5584d15170ffdb90de.png][]

![e61e942d502e41af8b62375fab939a8f.png][]

3.打开。

![1a816dc145d246dd9aa73927bb8c0d4b.png][]

4.攻击思路：

在cookie内植入user值，user值就是生成的恶意序列化数据。

5.构造exp。

![bffed3c70f2449ccaf1b2505566a1d88.png][]

![5a03c055b78e4771b4e7aecd0b2d75fa.png][]6.执行得到序列化代码。

![3d6a2f50e74a4e159146d9d7600c5d85.png][]

7.在源代码中得知其会进行一次base64解码，所以我们需要对上面得到的序列化代码进行一次编码。对代码进行下面的修改。

![8b973cd8b1e14777b4446de2050d0538.png][]8.再次执行得到编码后的序列化代码。

![878bd21f174c4cf98e46606c17b525c2.png][]

9.抓取数据包，在数据包内添加下面的内容。

![ce9f6a25a7854424893dee3b53c9d8e8.png][]

10.放包后可以看到计算器成功弹出。

![8724b44fbe6c4dadbb7f4ec2189c68cd.png][]

# 六、CTF-CISCN华北-JWT&反序列化 #

1.通过提示：

寻找LV6 -> 购买修改支付逻辑 -> 绕过admin限制需修改jwt值 -> 爆破jwt密匙 -> 重组jwt值成为admin -> 购买进入会员中心 -> 源码找到文件压缩源码 -> Python代码南计反序列化 -> 构造读取flag代码进行序列化打印 -> 提交获取。

2.考点：

*  考点一：JWT 身份验证
 *  考点二：Python 代码审计 反序列化

3.找到并将靶场环境打开。

![f8ac1851363c4248b8a0499b7e0526c3.png][]

4.打开后页面如下。

![ab5315e28d304157b26f4e59dbce0770.png][]

5.可以看到目的是买到v6。

![74d4e53c504f4a939996638de221cca2.png][]

6.因为它分好多页，所以可以使用脚本来爬取找到v6。

7.用来爬取的代码如下图所示。

![0ae812cf95e4427884245bd3c0e3120c.png][]8. 可以看到在第180页内找到了。

![dfd51d56f61347ef88812cfff476e0e6.png][]

![68f2d53cb35e4b75b2e551819eefd826.png][]

9.点击购买后跳转到了登陆页面。

![4afc3a3d3ccd4b83ab896e23b645cad8.png][]

10.注册好后再次点击购买可以看到调换到了下面的页面。

![808053d9e1b745c19b5f407dd5dc1ff3.png][]11.但是点击结算后就又跳转到了下面的页面。

![87b1b5103e174f80ba5e1f48dcb0f9d9.png][]

12.这是因为我们的存款不够购买v6的。

13.我们重新点击结算后抓包。

![0b84ebb3ca6e4d57b2d73959f7c0421e.png][]

14.将上面数据包内的0.8（打的折）改成超级小的数。

![5f5ad9e76d72426fa5961e2c142d53ee.png][]

15.放包后却又得到了下面的返回结果。

![b446fc0b689149ea85be0fc39dacb183.png][]

16.重新抓取数据包后我们注意到了数据包内的JWT值。

![7871a3f9d3d144b4b618f2e79ac7c7b8.png][]17.我们将其粘贴到官网后进行解密，得到下面的结果。

![c98399a41ef742f198bbc90a49614bcd.png][]18.使用脚本破解密匙。

![fb355f22f7844726a957aa4380bc1d98.png][]

19.将破解后的密匙填入后将username更改成admin，得到新的JWT值。

![0639cb2e4fff4e3f9334a03b74509a25.png][]

20.将其粘贴到数据包内后再次放包。

![dd5d414a985a4c0f9dd808823f7a326b.png][]

21.可以看到这次网站成功进行了执行。

![443a7ad1498348959c8d323877f02927.png][]

22.但是当我们点击下面的一键成为大会员后网页却没有反应。

23.此时查看网页源代码后可以看到下面的内容。

![c12f4ccf87ab401db39eccc3e093ea30.png][]

24.将其进行下载解压后打开，可以看到下面的内容。

![632bacb496164198a141e4c6e7eddf81.png][]

25. 可以得知是网站原码，我们将其打开后进行分析。

26.我们直接使用搜索功能搜索序列化相关内容。

![e329ec31b5e8489683f8ad7a2b7cb5f4.png][]

27.定位后可以看到调用序列化的函数。

![aaa9f3ec6ca44ebb9ba5715601b8a9ca.png][]

28.经过分析得知其是python2进行编码的，因此我们使用python构造payload。

![7fa5256f73a64caf85ae07c8cbcf339d.png][]

29.执行后可以看到成功构造了payload。

![3fd2fa0a1f2d41cbb961f0d717c07aa2.png][]

30.将value值改成我们刚刚生成的payload。

![589a5ecf505b436495d4ceafcb4c98d8.png][]

![c67d934e2b8141c89c67c5da073f443e.png][]

31.更改后再次点击一键成为大会员，可以看到成功获取到了flag。

![ecca9bbb45304c1e88102c7b5f975811.png][]

# 七、代码审计自动化工具——bandit #

1.参考:

[GitHub - PyCQA/bandit: Bandit is a tool designed to find common security issues in Python code.][GitHub - PyCQA_bandit_ Bandit is a tool designed to find common security issues in Python code.]

[Test Plugins — Bandit documentation][Test Plugins _ Bandit documentation]

2.安装: pip install bandit

*  linux

安装后会在当前Python目录下bin

使用: bandit-r 需要审计的源码目录

*  windows

安装后会在当前Python目录下script

使用: bandit -r 需要审计的源码目录

3.实操示例。

![d9ce466934bf41f9b13b9fca7ccf17b1.png][]

[db7034a7b782402bb3b84fb5b7111a38.png]: https://img-blog.csdnimg.cn/db7034a7b782402bb3b84fb5b7111a38.png
[87dfc257ba30434fb99160725faf37d3.png]: https://img-blog.csdnimg.cn/87dfc257ba30434fb99160725faf37d3.png
[44da0ffc576a44f98466a9abbd52d772.png]: https://img-blog.csdnimg.cn/44da0ffc576a44f98466a9abbd52d772.png
[88a3a849e4d34f79a209864a508a75b8.png]: https://img-blog.csdnimg.cn/88a3a849e4d34f79a209864a508a75b8.png
[2602d303435648138ab02bd8660cbb86.png]: https://img-blog.csdnimg.cn/2602d303435648138ab02bd8660cbb86.png
[513c6455718c4bb78beb9091794e052e.png]: https://img-blog.csdnimg.cn/513c6455718c4bb78beb9091794e052e.png
[d73fe9347452431eaebb119c53f667fd.png]: https://img-blog.csdnimg.cn/d73fe9347452431eaebb119c53f667fd.png
[c1f798eda3294a288316b6b40ccf9272.png]: https://img-blog.csdnimg.cn/c1f798eda3294a288316b6b40ccf9272.png
[d432b5f1911b44499ee699e4a978db74.png]: https://img-blog.csdnimg.cn/d432b5f1911b44499ee699e4a978db74.png
[2597b9557c0945258fd42fa30e030c32.png]: https://img-blog.csdnimg.cn/2597b9557c0945258fd42fa30e030c32.png
[105d9d183f6b4a5584d15170ffdb90de.png]: https://img-blog.csdnimg.cn/105d9d183f6b4a5584d15170ffdb90de.png
[e61e942d502e41af8b62375fab939a8f.png]: https://img-blog.csdnimg.cn/e61e942d502e41af8b62375fab939a8f.png
[1a816dc145d246dd9aa73927bb8c0d4b.png]: https://img-blog.csdnimg.cn/1a816dc145d246dd9aa73927bb8c0d4b.png
[bffed3c70f2449ccaf1b2505566a1d88.png]: https://img-blog.csdnimg.cn/bffed3c70f2449ccaf1b2505566a1d88.png
[5a03c055b78e4771b4e7aecd0b2d75fa.png]: https://img-blog.csdnimg.cn/5a03c055b78e4771b4e7aecd0b2d75fa.png
[3d6a2f50e74a4e159146d9d7600c5d85.png]: https://img-blog.csdnimg.cn/3d6a2f50e74a4e159146d9d7600c5d85.png
[8b973cd8b1e14777b4446de2050d0538.png]: https://img-blog.csdnimg.cn/8b973cd8b1e14777b4446de2050d0538.png
[878bd21f174c4cf98e46606c17b525c2.png]: https://img-blog.csdnimg.cn/878bd21f174c4cf98e46606c17b525c2.png
[ce9f6a25a7854424893dee3b53c9d8e8.png]: https://img-blog.csdnimg.cn/ce9f6a25a7854424893dee3b53c9d8e8.png
[8724b44fbe6c4dadbb7f4ec2189c68cd.png]: https://img-blog.csdnimg.cn/8724b44fbe6c4dadbb7f4ec2189c68cd.png
[f8ac1851363c4248b8a0499b7e0526c3.png]: https://img-blog.csdnimg.cn/f8ac1851363c4248b8a0499b7e0526c3.png
[ab5315e28d304157b26f4e59dbce0770.png]: https://img-blog.csdnimg.cn/ab5315e28d304157b26f4e59dbce0770.png
[74d4e53c504f4a939996638de221cca2.png]: https://img-blog.csdnimg.cn/74d4e53c504f4a939996638de221cca2.png
[0ae812cf95e4427884245bd3c0e3120c.png]: https://img-blog.csdnimg.cn/0ae812cf95e4427884245bd3c0e3120c.png
[dfd51d56f61347ef88812cfff476e0e6.png]: https://img-blog.csdnimg.cn/dfd51d56f61347ef88812cfff476e0e6.png
[68f2d53cb35e4b75b2e551819eefd826.png]: https://img-blog.csdnimg.cn/68f2d53cb35e4b75b2e551819eefd826.png
[4afc3a3d3ccd4b83ab896e23b645cad8.png]: https://img-blog.csdnimg.cn/4afc3a3d3ccd4b83ab896e23b645cad8.png
[808053d9e1b745c19b5f407dd5dc1ff3.png]: https://img-blog.csdnimg.cn/808053d9e1b745c19b5f407dd5dc1ff3.png
[87b1b5103e174f80ba5e1f48dcb0f9d9.png]: https://img-blog.csdnimg.cn/87b1b5103e174f80ba5e1f48dcb0f9d9.png
[0b84ebb3ca6e4d57b2d73959f7c0421e.png]: https://img-blog.csdnimg.cn/0b84ebb3ca6e4d57b2d73959f7c0421e.png
[5f5ad9e76d72426fa5961e2c142d53ee.png]: https://img-blog.csdnimg.cn/5f5ad9e76d72426fa5961e2c142d53ee.png
[b446fc0b689149ea85be0fc39dacb183.png]: https://img-blog.csdnimg.cn/b446fc0b689149ea85be0fc39dacb183.png
[7871a3f9d3d144b4b618f2e79ac7c7b8.png]: https://img-blog.csdnimg.cn/7871a3f9d3d144b4b618f2e79ac7c7b8.png
[c98399a41ef742f198bbc90a49614bcd.png]: https://img-blog.csdnimg.cn/c98399a41ef742f198bbc90a49614bcd.png
[fb355f22f7844726a957aa4380bc1d98.png]: https://img-blog.csdnimg.cn/fb355f22f7844726a957aa4380bc1d98.png
[0639cb2e4fff4e3f9334a03b74509a25.png]: https://img-blog.csdnimg.cn/0639cb2e4fff4e3f9334a03b74509a25.png
[dd5d414a985a4c0f9dd808823f7a326b.png]: https://img-blog.csdnimg.cn/dd5d414a985a4c0f9dd808823f7a326b.png
[443a7ad1498348959c8d323877f02927.png]: https://img-blog.csdnimg.cn/443a7ad1498348959c8d323877f02927.png
[c12f4ccf87ab401db39eccc3e093ea30.png]: https://img-blog.csdnimg.cn/c12f4ccf87ab401db39eccc3e093ea30.png
[632bacb496164198a141e4c6e7eddf81.png]: https://img-blog.csdnimg.cn/632bacb496164198a141e4c6e7eddf81.png
[e329ec31b5e8489683f8ad7a2b7cb5f4.png]: https://img-blog.csdnimg.cn/e329ec31b5e8489683f8ad7a2b7cb5f4.png
[aaa9f3ec6ca44ebb9ba5715601b8a9ca.png]: https://img-blog.csdnimg.cn/aaa9f3ec6ca44ebb9ba5715601b8a9ca.png
[7fa5256f73a64caf85ae07c8cbcf339d.png]: https://img-blog.csdnimg.cn/7fa5256f73a64caf85ae07c8cbcf339d.png
[3fd2fa0a1f2d41cbb961f0d717c07aa2.png]: https://img-blog.csdnimg.cn/3fd2fa0a1f2d41cbb961f0d717c07aa2.png
[589a5ecf505b436495d4ceafcb4c98d8.png]: https://img-blog.csdnimg.cn/589a5ecf505b436495d4ceafcb4c98d8.png
[c67d934e2b8141c89c67c5da073f443e.png]: https://img-blog.csdnimg.cn/c67d934e2b8141c89c67c5da073f443e.png
[ecca9bbb45304c1e88102c7b5f975811.png]: https://img-blog.csdnimg.cn/ecca9bbb45304c1e88102c7b5f975811.png
[GitHub - PyCQA_bandit_ Bandit is a tool designed to find common security issues in Python code.]: https://github.com/PyCQA/bandit
[Test Plugins _ Bandit documentation]: https://bandit.readthedocs.io/en/latest/plugins/index.html
[d9ce466934bf41f9b13b9fca7ccf17b1.png]: https://img-blog.csdnimg.cn/d9ce466934bf41f9b13b9fca7ccf17b1.png