华域联盟
登陆 / 注册 搜索

USERCENTER

SEARCHSITE

搜索

记CTF竞赛中发现的Python反序列化漏洞

2017-9-9 20:47| 发布者: sterben| 查看: 1512| 评论: 0

摘要: 写在前面的话在前几天,我有幸参与了ToorConCTF(https://twitter.com/toorconctf),而在参与此次盛会的过程中我第一次在Python中发现了序列化漏洞。在我们的竞赛过程中,有两个应战中触及到了能够接受序列化对象的 ...

http://p4.qhimg.com/t01a4c427994c1db945.jpg



写在前面的话


在前几天,我有幸参与了ToorConCTFhttps://twitter.com/toorconctf),而在参与此次盛会的过程中我第一次在Python中发现了序列化漏洞。在我们的竞赛过程中,有两个应战中触及到了能够接受序列化对象的Python库,而我们经过研讨发现,这些Python库中存在的安全漏洞将有可能招致远程代码执行(RCE)。

由于我发现网上关于这方面的参考资料十分散乱,查找起来也十分的艰难,因而我打算在这篇文章中与大家分享我的发现、漏洞应用代码和相应的处置计划。在这篇文章中,我将会给大家引见如何应用PyYAML(一个Python YAML库)和Python Pickle库中的反序列化漏洞。



鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 针对新型POS机歹意软件Troj
  • 网站权限的安全配置
  • 基于网络的入侵检测和入侵
  • 奇淫技巧!看我如何绕过Win
  • Linux 攻击面剖析与行为记
  • 重磅!一种歹意软件绕过杀软

图文热点

重磅!一种歹意软件绕过杀软的新办法
重磅!一种歹意软件
前言随着越来越多的网络攻击、数据库漏洞、特务软件以
供给链幽魂再现:CCleaner软件攻击剖析报告
供给链幽魂再现:CC
概述近日,360安全中心检测到盛行系统优化软件CCleane
隔空盗刷NFC信誉卡 2017 HACKPWN最吸“金”的破解秀
隔空盗刷NFC信誉卡
前言具备NFC(闪付)功用的各种卡片越来越多,很多人
安全研讨人员披露D-Link路由器漏洞
安全研讨人员披露D-
研讨员透露几个补丁的细节影响友讯科技dir - 850 l路
Apache Struts2 Freemarker标签远程执行漏洞剖析和复现
Apache Struts2 Fre
2017年9月7日,Struts官方发布一个中危的安全漏洞,该

GMT+8, 2017-11-22 19:11 , Processed in 0.171875 second(s), 31 queries .

© 2020 华域联盟 | 蒙公网安备 15062202000105号 版权删帖举报人口

备案号: 蒙ICP备17000689号-2