关于python类型创建、反射（自醒）与反序列化

一、反序列化漏洞与新式类

在pickle和cPickle以及shelve这三个序列化类中，想要构造反序列化漏洞执行命令或者代码，都需要用到新式类。

shelve其实底层就是调用的pickle和cPickle，不过是在此基础上加了一层封装罢了。

而且要用到__reduce__这个魔法函数：

 class A(object):
     def __reduce__(self):
         do_something()

这个魔法函数当反序列化时候对返回一个元祖，其中第一个是可调用的对象，第二个是可调用对象的参数对象，这个返回值在反序列化时候会被执行。

为什么必须是新式类呢，看一下这个代码就知道了

 class human1():
     def __init__(self):
         pass

 class human2(object):
     def __init__(self):
         pass

 h1 = human1()
 h2 = human2()
 print dir(h1)
 print dir(h2)

 """
 ['__doc__', '__init__', '__module__']
 ['__class__', '__delattr__', '__dict__', '__doc__', '__format__', '__getattribute__', '__hash__', '__init__', '__module__', '__new__', '__reduce__', '__reduce_ex__', '__repr__', '__setattr__', '__sizeof__', '__str__', '__subclasshook__', '__weakref__']
 """

因为经典类默认是没有__reduce__的，新式类默认有，目的就是为了帮助pickle，你重写才有意义。

当然类本事也可以作为参数，也可序列化反序列化，但是还没找到哪一个内置函数会在类本身被反序列话的时候运行，就像对于实例来说的__reduce__一样。

二、关于python的反射特性和自醒特性：

大家都知道在java中关于invoker的相关东西，为java反序列化构造反射链立下了汗马功劳，在python中也有类似的功能设计。

这里要涉及到python的一个模块：inspect，起作用与java的反射特点类似。

首先看一下类和实例的创建

1、对于类：

 class myclass1(object):
     def __init__(self,*args,**kwargs):
         do_something()
 myclass2 = myclass1
 myclass3 = myclass1.__class__
 myclass4 = pickle.loads(pickle.dumps(myclass1))
 myclass5 = getattr（sys.modules[__name__]，'myclass1'）

2、对于实例：

 a = myclass1(1)
 a = eval("{0}({1})".format("myclass1",""))
 a = cPickle.loads(cPickle.dumps(myclass1))(2)
 a = getattr(sys.modules[__name__],'myclass1')(3)

上面的都成创建实例。

注：python的eval是代码执行的函数，类似php

 eval("os.system('id')")

当然还有一种方法创建实例和类就是globals()[myclass1]()创建类，globals()[myclass1]()(5)创建实例。

3、下面正式来讲反射，三要素，获取类，获取方法、执行

3.1、获取类:

3.1.1、获取本身的类：

 #对象实例obj
 obj.__class__

3.1.2、获取父类

 #实例对象obj，类myclass
 #一层继承：返回tuple
 obj.__class__.__bases__
 myclass.__bases__
 #多层继承:
 obj.__class__.__bases__[0].__bases__
 myclass.__bases__[0].__bases__

3.2、获取属性和方法：

3.2.1、获取方法名字：

 #obj实例对象名称或者类名称
 dir(obj)

3.2.1 验证存在性与获取属性方法

 #obj为实例或者类对象
 #判断是否存在
 hasattr(obj,"run")
 #获取：
 getattr(obj,"run")
 #返回属性或者函数对象可以调用
 #设置：
 setattr(obj,"flag","")
 #obj.flag = 1
 def func():
     os.system("id")
 setattr(obj,"func",func)
 #调用可以obj.func()
 def func(obj):
     this = obj
     do_something(this)
 setattr(obj,"func",func)
 obj.func(obj)

3.3调用：

 #调用属性:
 getattr(obj,"name")
 #调用方法:
 getattr(obj,"func")()

知道了2中的种种，其实python也是可以构造自己的反射链的。

三、反序列化与getattribute和getattr函数

之前的博客提到了pyyaml的反序列化漏洞就是由getattr()引起的，获得了函数并执行，导致了被攻击。

在返序列化中遇到getattribute,他是getattr的新式类版本，下面来看对于类和对象上这两个函数的区别

1 对于类：

 class person(object):
     def run(self):
         import os
         os.system("id")
 getattr(person,"run")(person())
 person.__getattribute__(person,"run")(person())

2、对于对象：

 class person(object):
     def __init__(self,):
         pass
     def run(self):
         os.system("id")
 p = person()
 print getattr(p,"run")()
 print p.__getattribute__("run")()

以上都可以导致命令执行，或者代码执行。

这样python的反序列化其实就和java的差不多了，java有很多中间件，都是大项目，如果python也有这样的组件家族的话相信，会有复杂的反射链和多种利用方式，从目前来看，对于python发序列化漏洞比较多的还是web，所以使用base64和xml等传输，会导致这类漏洞，需要特别注意。