什么是Python反序列化

python反序列化和php反序列化类似（还没接触过java。。），相当于把程序运行时产生的变量，字典，对象实例等变换成字符串形式存储起来，以便后续调用，恢复保存前的状态

python中反序列化的库主要有两个，和，这俩除了运行效率上有区别外，其他没啥区别

的常用方法有

输出反序列化

读入反序列化

可以看出，和之间反序列化的结果有些许差别，我们先以目前的支持版本为主要对象，在后期给出exp的时候再补上

python3大多版本中反序列化的字符串默认版本为3号版本，我这里的默认版本为4

为了便于分析和兼容，我们统一使用号版本

反序列化流程分析

在挖掘反序列化漏洞之前，我们需要了解python反序列化的流程是怎样的

直接分析反序列化出的字符串是比较困难的，我们可以使用帮助我们进行分析

指令集如下：（更具体的解析可以查看)

依照上面的表格，这一个序列化的例子就很好理解了

我们再来看另一个更复杂的例子

这样另一个更复杂的例子就分析完成了

我们现在能大体了解序列化与反序列化的流程

漏洞分析

RCE：常用的

ctf中大多数常见的pickle反序列化，利用方法大都是

触发的指令码为

大意为：

取当前栈的栈顶记为，然后把它弹掉。

取当前栈的栈顶记为，然后把它弹掉。

以为参数，执行函数，把结果压进当前栈。

只要在序列化中的字符串中存在指令，方法就会被执行，无论正常程序中是否写明了方法

例如：

把生成的payload拿到无的正常程序中，命令仍然会被执行

记得生成payload时使用的python版本尽量与目标上的版本一致

全局变量包含覆盖：指令码

前两个例子开头都有指令码

简单来说，指令码可以用来调用全局的的值

看下面的例子

在我们不知道中值的情况下，如何构造满足条件的payload，拿到flag呢？

利用c指令：

这是一般情况下的flag类

第27行和第37行分别进行了传参，如果我们手动把payload修改一下，将a和b的值改为，

我们成功的调用了中的变量

RCE：BUILD指令

还记得刚才说过的build指令码吗

通过BUILD指令与C指令的结合，我们可以把改写为或其他函数

假设某个类原先没有方法，我们可以利用来BUILE这个对象

BUILD指令执行时，因为没有方法，所以就执行update，这个对象的方法就改为了我们指定的

接下来利用来再次BUILD这个对象，则会执行，而此时已经被我们设置为，因此实现了RCE.

看一看具体如何实现的：

还是以flag类为例

接下来需要我们手撕payload了

根据BUILD的说明，我们需要构造一个字典

接下来往字典里放值，先放一个mark

放键值对

第一次BUILD

放参数

第二次BUILD

完成

我们来试一下

成了，我们在不使用指令的情况下完成了RCE

python2 区别不是很大：

输出：

修改payload：

https://blog.csdn.net/weixin_44377940/article/details/106863514

https://zhuanlan.zhihu.com/p/89132768