华域联盟
登陆 / 注册 搜索

USERCENTER

SEARCHSITE

搜索

记CTF竞赛中发现的Python反序列化漏洞

2017-9-9 20:47| 发布者: sterben| 查看: 584| 评论: 0

摘要: 写在前面的话在前几天,我有幸参与了ToorConCTF(https://twitter.com/toorconctf),而在参与此次盛会的过程中我第一次在Python中发现了序列化漏洞。在我们的竞赛过程中,有两个应战中触及到了能够接受序列化对象的 ...

http://p4.qhimg.com/t01a4c427994c1db945.jpg



写在前面的话


在前几天,我有幸参与了ToorConCTFhttps://twitter.com/toorconctf),而在参与此次盛会的过程中我第一次在Python中发现了序列化漏洞。在我们的竞赛过程中,有两个应战中触及到了能够接受序列化对象的Python库,而我们经过研讨发现,这些Python库中存在的安全漏洞将有可能招致远程代码执行(RCE)。

由于我发现网上关于这方面的参考资料十分散乱,查找起来也十分的艰难,因而我打算在这篇文章中与大家分享我的发现、漏洞应用代码和相应的处置计划。在这篇文章中,我将会给大家引见如何应用PyYAML(一个Python YAML库)和Python Pickle库中的反序列化漏洞。



鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 重磅!一种歹意软件绕过杀软
  • 供给链幽魂再现:CCleaner
  • 隔空盗刷NFC信誉卡 2017 HA
  • 安全研讨人员披露D-Link路
  • 揭密小黑系列——SSL劫持木
  • 记CTF竞赛中发现的Python反

图文热点

黑客团队OurMine入侵维基解密网站,官网被其挂了黑页
黑客团队OurMine入
Oops!维基解密被臭名远扬的黑客组织OurMine挂了黑页
螳螂捕蝉黄雀在后!公开黑客论坛免费远控木马被曝“后门” ...
螳螂捕蝉黄雀在后!
9月2日讯 黑客可在公开黑客论坛免费下载的远程访问木
俄罗斯互联网提供商巨头Rostelecom遭遇DDoS攻击企图
俄罗斯互联网提供商
9月2日讯 8月底,俄罗斯最大互联网提供商Rostelecom遭
渣滓邮件歹意程序“Onliner”瞄准7.11亿电子邮件账户
渣滓邮件歹意程序“
9月1日讯 巴黎安全研讨人员Benkow率先发现身份不明的
华域2017年9月2日23:23:56爱奇艺会员账号共享
华域2017年9月2日23
账号4541503610322 密码9E6GbQqqaiqin.com账号3681503

GMT+8, 2017-9-22 21:36 , Processed in 0.187500 second(s), 32 queries .

© 2020 华域联盟 | 蒙公网安备 15062202000105号 版权删帖举报人口

备案号: 蒙ICP备17000689号-2