《安全研究》利用pip自解压进行命令执行操作

已于 2023-11-05 00:10:51 修改
阅读量263 收藏
点赞数 6
分类专栏: 安全研究 文章标签: 安全 pip 网络安全 web安全
于 2023-11-03 21:45:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45170890/article/details/134211340
版权

前言

pip自解压执行命令是指pip工具在安装软件包时存在的一个潜在安全问题。pip是Python的包管理器,用于从Python Package Index(PyPI)上下载和安装软件包。在Pip在执行安装过程中使用了一个特殊的机制,即自解压执行命令(Self-Extracting Executable,简称SFX),它允许软件包直接作为可执行文件进行安装,该漏洞的存在使得攻击者可以通过构造恶意软件包来执行任意的系统命令。攻击者可以在软件包中嵌入恶意代码,并利用Pip的自解压执行功能触发该代码的执行,从而导致潜在的安全问题。在实战中假设获取到目标服务器的控制权限,且存在pip特定漏洞版本,可通过下面演示的方式进行权限维持,免杀bypass杀软执行命令。

代码分析

首先,我们可以根据说明解读下,参考pip官方代码

https://github.com/pypa/pip/blob/d0051d3266ba11e7410a43a040dfd409af88a1db/src/pip/_internal/utils/unpacking.py#L229-L257

def unpack_file(
    filename: str,
    location: str,
    content_type: Optional[str] = None,
) -> None:
    filename = os.path.realpath(filename)
    if (
        content_type == "application/zip"
        or filename.lower().endswith(ZIP_EXTENSIONS)
        or zipfile.is_zipfile(filename)
    ):
        unzip_file(filename, location, flatten=not filename.endswith(".whl"))
    elif (
        content_type == "application/x-gzip"
        or tarfile.is_tarfile(filename)
        or filename.lower().endswith(TAR_EXTENSIONS + BZ2_EXTENSIONS + XZ_EXTENSIONS)
    ):
        untar_file(filename, location)
    else:
        # FIXME: handle?
        # FIXME: magic signatures?
        logger.critical(
            "Cannot unpack file %s (downloaded from %s, content-type: %s); "
            "cannot detect archive format",
            filename,
            location,
            content_type,
        )
        raise InstallationError(f"Cannot determine archive format of {location}")

源代码中所展示的第1-5所示,创建了一个函数 unpack_file 和三个参数,

def unpack_file(
    filename: str,
    location: str,
    content_type: Optional[str] = None,
) -> None:
参数说明:
● filename:一个字符串,表示要
最低0.47元/天 解锁文章
「已注销」
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
winRaR 命令行实现自解压执行程序
shenmingyi.blog.csdn.net
08-18 4116
前言 (题外话) 做qt的程序一般大家制作安装包 都是通过第三方的软件 nsis 和 inno setup 这俩我也都用过 有好处也有坏处 坏处 就是要学习一下这个安装包自己的语法 拓展性可以 但是有点难 学习成本高 所以就直接用qt做安装程序 然后 qt的安装程序 通过WinRaR 压缩为一个双击的exe , 这个exe 直接双击就是执行安装包 电脑不需要装WinRaR 也可以运行 挺好 这不就是个安装包吗? 哈哈哈 这里就不多说 qt做安装包的方法了 步入正题 正题 本文适合 自己通过WinRaR 图
winrar 制作自解压文件脚本-实现安装程序
星陨阁:wxgnolux
05-20 3682
利用winrar制作自解压文件功能,可以实现程序打包,制作成安装文件。图形操作方式有点复杂,虽然可以存为配置,后直接调用,但是每次都要鼠标操作,比较麻烦。换一个程序打包也要改配置。直接利用命令行的方式,可以把打包放在程序的编译后命令,一步到位,省去很多不必要的操作,后期作为源代码也方便管理和修改。 下面是个例子,结合例子记录一下,winrar命令方式的使用方法 rem build.bat rem 构造 winrar 注释文件 echo Path=appdir>>.\dist\co...
使用命令的方式制作自解压文件
ugo的博客
01-31 514
extra.sh脚本文件可复用制作自解压文件,脚本也可添加一些解压执行的脚本,如安装文件配置等,除了压缩包其他二进制文件也可写入进行混合处理,完成特殊应用需求。编辑一个shell脚本执行解压命令--手动创建一个压缩包--将压缩包写入shell脚本末尾--执行shell脚本文件自解压。| tar -izx ##tar通过管道将tail打印的内容进行解压,-i 忽略归档中的零字节块(即文件结尾)tail -n+6 "$0" ##打印本脚本文件($0)第6开始往后的内容。写入后的文件部分内空。
解压压缩包脚本
程序员之道
11-30 1208
我们一般解压一个压缩包,需要三步:1、打开压缩包。2、点击解压文件。3、选择解压目录解压到指定文件夹。那么,怎么一步完成这些繁琐的操作呢?
解压原理介绍及制作
d_chunyu的专栏
05-21 4896
解压文件: 一个 SFX (SelF-eXtracting)自解压文件是压缩文件的一种,因为它可以不用借助任何压缩工具,而只需双击该文件就可以自动执行解压缩,因此叫做自解压文件。同压缩文件相比,自解压的压缩文件体积要大于普通的压缩文件(因为它内置了自解压程序),但它的优点就是可以在没有安装压缩软件的情况下打开压缩文件(文件类型为·exe格式)。 原理: sfx文件通常为二进制文...
下载安装setuptool和pip linux安装pip
09-15
`installfile`函数遍历`packages_dir`目录中的所有文件,对每个解压后的文件,获取顶级目录名(即包名),然后使用`tar`再次解压,并调用`setup.py install`命令进行安装。这是`setuptools`的标准安装流程。 4. **...
pip-20.3.4.tar.gz
04-13
最后,执行 `python setup.py install` 命令,这会利用 Python 自带的 distutils 或 setuptools 模块来编译源码并将其安装到你的系统中,通常是 `$PYTHONPATH` 路径下的 `site-packages` 目录。 标签 "python pip" ...
pip和flask安装包.zip
10-07
执行命令通常是这样的: ```bash python get-pip.py ``` 这个脚本会检查Python环境,并安装最新版本的`pip`。这样,即使在无网情况下,你也能通过`pip`来安装其他Python包了。 接下来,我们来看`Flask`。`flask....
python3安装pip指令文件
08-15
这条命令告诉操作系统使用Python3解释器来执行“get-pip.py”脚本,并且通过`sudo`获得必要的管理员权限。如果你的系统中没有预装Python3,你需要先安装Python3,然后才能运行这个脚本。 安装完成后,你可以通过...
pip-23.2.tar.gz
10-29
解压并安装,用户可以先使用`tar`命令解压,然后用`setup.py`进行安装: ```bash tar -zxvf pip-23.2.tar.gz cd pip-23.2 python setup.py install ``` 以上步骤完成后,pip-23.2便成功安装在你的系统中,你可以...
WINRAR 自解压脚本命令及变量
weixin_34008933的博客
09-04 762
解压脚本命令 Path=d:\ ;绝对路径 ;Path=.\在当前文件夹中创建 ;Path=在“Program Files”中创建 ;在当前文件夹创建,无语句 Setup=释放后运行 Presetup=释放前运行 ;临时模式:解压到临时文件夹 TempMode="可选性询问","询问标题" ;缄默模式:全部显示,无语句;全部隐藏,值为1;隐藏启动对话框,值为2 Si...
解压格式的命令
weixin_30955617的博客
12-11 555
原来可以用命令来实现自解压,很方便。 在注释里面写命令; 1、创建快捷方式:shortcut=目标类型,文件路径,目标文件夹,描述,快捷方式名 比如:shortcut=D,Folder\d.bat,,,xx (含义是:把要压缩的文件夹下面的d.bat的快捷方式放到桌面,显示的名字是xx) 2、解压执行的文件:Setup=程序 比如: Setup=BAT版\注册.batSet...
压缩高手:Winrar实用技巧
关中汉子
12-15 2015
        现在压缩软件很多,但是WinRAR以其小巧、实用赢得了大家的喜爱。不过,这个软件有很多的实用技巧。利用它们,可以让我们真正做到事半功倍。  1.制作自解压文件  如果你平时使用WinRAR来压缩文件,而你的朋友也不会使用WinRAR,但你的数据又确实必须压缩后才能够给他。这时,我们就可以把RAR压缩包制作成EXE文件。他只要执行生成后EXE文件即可解压。  (1)直接生成法  如,
详解WinRar的自解压路径及命令
热门推荐
一剑之下的天空
11-22 2万+
在使用winrar打包时,需要将文件复制到系统根目录,但是为了保证兼容性,需要使用系统变量,在网上查了下,得到以下资料,发于此以备后用。           WINRAR 的帮助文件中没有对自解压路径和系统的环境变量之间作说明,所以,很多人只知道,其自解压路径可以智能定位到系统的 PROGRAM FILES 目录,而不知道它其实还可以智能定位到系统的任何地方: %SystemDrive
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 797
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
防火墙--内容安全
banliyaoguai的博客
07-20 1246
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
气膜建筑的逃生通道设计与安全保障—轻空间
最新发布
Skansi的博客
07-25 296
确保这类建筑的安全性,尤其是逃生通道的设计,是保障人员生命安全的关键。通过合理设计逃生通道、加强日常维护和应急演练,可以有效提升气膜建筑的安全性,保障人员的生命安全。定期组织应急疏散演练,提高人员逃生意识和技能,确保紧急情况下有序撤离。根据建筑面积和使用人数设计足够的逃生通道,确保人员能够迅速疏散。逃生通道应有清晰的标识和足够的照明,确保在紧急情况下易于找到。材料和结构应具备良好的防火性能,确保通道畅通无阻。逃生通道的宽度和高度应满足疏散需求,避免拥堵。安装应急照明设备和紧急广播系统,引导人员撤离。
探究大语言模型(LLM)漏洞和安全优秀实践
java_cjkl的博客
07-21 1146
你可能已听说过LLM强势亮相,至少ChatGPT就是代表。大语言模型(LLM)指语言处理模型。这类模型经过训练,可以执行各种各样的语言任务:翻译、文本生成和问题回答等。有几个LLM家族和架构,最著名的是GPT(生成式预训练Transformer)。每种 LLM都有各自的特定功能,但本文侧重介绍LLM普遍固有的安全问题。随着越来越多的公司集成LLM以增强用户体验或简化和加速内部流程,这种类型的集成特有的新漏洞随之出现。
Python利用pip安装tar.gz格式的离线资源包
06-01
利用pip安装.tar.gz格式的离线资源包,可以按照以下步骤进行: 1. 将离线资源包解压到一个目录中,比如/home/user/offline_package。 2. 进入该目录,执行以下命令生成requirements.txt文件: ``` pip freeze...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值