• 设为首页
  • 点击收藏
  • 手机APP
    手机扫一扫下载
    华域联盟APP
  • 关注官方公众号
    微信扫一扫关注
    华域联盟公众号

记CTF竞赛中发现的Python反序列化漏洞


http://p4.qhimg.com/t01a4c427994c1db945.jpg



写在前面的话


在前几天,我有幸参与了ToorConCTFhttps://twitter.com/toorconctf),而在参与此次盛会的过程中我第一次在Python中发现了序列化漏洞。在我们的竞赛过程中,有两个应战中触及到了能够接受序列化对象的Python库,而我们经过研讨发现,这些Python库中存在的安全漏洞将有可能招致远程代码执行(RCE)。

由于我发现网上关于这方面的参考资料十分散乱,查找起来也十分的艰难,因而我打算在这篇文章中与大家分享我的发现、漏洞应用代码和相应的处置计划。在这篇文章中,我将会给大家引见如何应用PyYAML(一个Python YAML库)和Python Pickle库中的反序列化漏洞。


分享到新浪微博

鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

粉丝8 阅读2007 回复0
热门推荐
阅读排行榜

扫描微信二维码

关注华域联盟公众号

随时了解更新最新资讯

在线客服(服务时间 9:00~18:00)

在线QQ客服

电邮:admin@cnhackhy.com

Powered by 华域联盟! © 2015-2019

备案号:蒙ICP备17000689号-2蒙公网安备 15062202000105号中国互联网举报中心 Free counters!