0x00 前言

在CTF比赛中 Python的题目种类也越来越多。记得之前遇到Python题目的模板注入反序列化题目笔者都会抄一下网上的
Payload然后获取flag。但吃鸡腿，不知道鸡腿从何而来，是无法品尝到其中的美味的~ 本篇文章以笔者的角度来描述一
下这盘子中的美味 来刨析出鸡腿的腿有多么性感。并且笔者会将Python 2 与 Python 3结合 没有下酒菜的酒局是没有味
道的整篇文章共5700字，供大家阅读体会。

0x01 沙箱逃逸原理及利用

相信大家在抄Payload的时候会发现 明明只有笔者抄 T.T 关于SSTI的Payload都是很长一大串 例如：


这是一个典型的文件读取Payload。可是我们现在并不知道原理 那么跟着笔者一步一步尝试来获取它其中的秘密吧！

一：刨析原理

首先我们需要理解一下Python的几种数据类型 笔者这里将常见数据类型放入一个列表中再进行依次打印 例如：

Python3：


Python2：


我们可以看到 使用type来进行检查数据类型时 会返回 <class 'XXX'> 那么我们会注意到XXX前的class 在编程
语言中class是用来定义类的。是的 没错 在Python中 一个字符串则为str类的对象 一个整形则为int类的对象
一个浮点数据则为float的对象...

我们可以通过id来看一下这些对象的编号是多少 如图：


得出首条结论：在Python中，一切皆对象。
那么知道这些有什么用呢？一个对象则存在属性与方法我们可以通过dir来进行查看
如图（这里用普通字符串来进行举例）：


我们可以看到字符串python2与python3都返回了upper 我们知道upper是一个函数
那么我们使用一下该方法。如图：


因为在Python中一切都是对象 所以方法与类也是对象 如图：


我们现在缺少的只是方法与类的调用而已 文章中不再描述如何调用。

那么现在问题就出来了 我们知道Python中存在数据类型 这些数据类型它们都是一个类 我们是怎么找到这个类并实例
化出来它们的？又或者说 在Python中存在一些函数 我们是怎么找到它们并调用的？如何查找到是当前的一个问题。
我们可以通过globals函数来进行查看（globals是获取当前可访问到的变量）：


我们可以看到我们定义的变量a已经放入到globals函数当中了 我们可以看到有__builtins__这样一个变量它是一个
模块并且模块名在Python2中命名为__builtin__在Python3中又重新命名为了builtins。
我们使用dir看一下该模块中所存在的一些内容。


我们可以看到 我们所使用的基础方法都存放在该模块中 我们使用该模块调用
一下print函数来进行测试。


我们可以看到 在Python3中返回正常，Python2却抛出异常 这是因为在Python2中print为一个
语句在Python3中它换成了一个函数。
得出第二条结论：在Python2/3中 任何基础类以及函数都存放在__builtin__/builtins模块中。
那么如果我们通过一些方式，可以定位到__builtin__ / builtins模块 那岂不是可以进行进行调用任意函数了。
现在的问题是我们该怎么定位。

我们知道builtins是存放在globals函数中的 与变量的作用域是有关系的 谈到变量的
作用域 我们会想到一个玩意：自定义方法。
我们可以自定义一个方法，将它视为一个对象 使用dir看一下它下面的成员属性。

如图：


果然 在一个普通方法中是存在__globals__这么一个成员属性的 我们可以打印它看一下。


我们可以看到 __globals__ 就是 globals() 函数的返回值 同理 它们下面都存在 __builtins__ 变量 我们可以使用
函数.__globals__['__builtins__']恶意函数() 来执行一下eval。如图：


我们可以看到 eval被我们成功执行！
而方法也是可以定义在类中的 我们简单定义一个类 并且定义一个__init__魔术方法
__init__是魔术方法 该方法在被类创建时自动调用。


我们可以看到同样是可以调用eval的。

如果我们不定义__init__会怎么样呢？我们可以看一下。


可以看到 在Python2中会报错 而python3中会返回slot。不定义__init__是不可以访问到
__globals__成员属性的 如图:


我们再看一下模块中的方法与当前都有什么区别。


这里区别就很明显了 这里 模块中的方法 中__globals__[__builtins__]中的所有内容都被存放入
一个字典中才可以进行调用。我们调用一下eval来进行测试 如图：


当然我们可以使用__import__函数调用os来进行执行命令 如图：


我们可以看到whoami被成功调用。

得出第三条结论：我们可以通过一个普通函数(或类中已定义的方法)对象下的__globals__成员属性来得到
builtins__从而执行任意函数 这里要注意的是模块与非模块下的__globals__的区别。
那么实际场景中 根本没有这样一个方法给我们利用。我们应该怎么做？
我们使用dir看一下普通类型（int,str,bool....）的返回结果。如图：


我们查看一下__class__的内容。如图：


可以看到通过__class__成员属性可以得到当前对象是XXX类的实例化。

在Python中 所有数据类型都存放于Object一个大类中 如图：


我们可以通过__bases__/__mro__/__base__来得到object 如图：


可以看到在python2中并没有直接返回object 我们可以再次访问__bases__就可以得到object了，如图:


那么通过__subclasses__即可得到object下的所有子类 如图:


下面我们就可以来依次判断这些类中是否定义__init__（或其他魔术方法）方法 如果定义 那么就可以拿到__init__
或其他魔术方法 下的__globals__[“__builtins__”]从而执行任意函数 编写脚本进行测试：


可以看到这些类都是可以进行利用的类。当然 也可以使用其他魔术方法
这里举例__delete__魔术方法，如图：


得出第四条结论：我们可以通过普通数据类型的__class__成员属性得到所属类 再通过__bases__/__base__/__mro__可以
得到object类 再次通过__subclasses__()来得到object下的所有基类，遍历所有基类检查是否存在指定的魔术方法 如果
存在那么即可获取__globals__[__builtins__]就可以调用任意函数了。
如上总结在Python2/3中都是可以进行利用的 只是在Python2中多了一种file的姿势。

如图:


只是file在Python3中被移除了，故Python3中没有此利用姿势。

二：flask模板注入

沙箱逃逸通常与flask的模板注入紧密联系 模板中存在可以植入表达式的可控点那么就会存在SSTI问题。

存在漏洞的代码：

在/test路由中存在模板注入漏洞 那么我们可以通过传递payload：
?content={{[].__class__.__base__.__subclasses__()[80].__init__.__globals__['__builtins__']['__import__']('os').
popen('whoami').read()}} 来进行执行任意命令（__subclasses__可利用的键值可以通过Burp从1-999进行爆破
出结果 这里得到80可以被利用）如图：


至此，我们完成了首次模板注入。

但是成熟的模板注入类的题目它会进行一些过滤的。这里简单总结一下。

三：过滤问题总结

这里简单记录一下模板注入中的一些过滤的绕过。

过滤中括号

我们知道__subclasses__()返回一个列表 __globals__返回一个字典 而列表的访问语法与字典的
访问语法需要借助于中括号 如果将中括号过滤 那么我们怎么办呢？
我们使用dir来查看一下“正常的列表/正常的字典”下的成员属性及方法 如图：


可以看到存在__getitem__方法。

进行调用：


当然 字典的访问也是可以通过__getitem__方法来进行绕过pop方法也可以被利用。

过滤引号

如果过滤引号 我们岂不是不可以进行模板注入了？
引号则表示str类型的数据 而str类型的数据可以通过变量来表示 这里可以借助于
flask中request.args对象来作为变量 以get传递进行赋值。
构造Payload：

如图：


成功执行命令。

过滤双下划线

由于在jinja2中允许 对象[属性] 的方式来访问成员属性 如图：


此时的属性放置的内容为字符类型 我们可以通过request.args全程代替。

构造Payload：

如图：


当然 也可以通过字符串拼接的方式 构造Payload：

?content={{[]['_'+'_class_'+'_']}} 结果如下：


过滤{{}}

{{}}通常来表示一个变量 而{%%}则表示为流程语句 虽然不可以回显内容
但是我们可以通过curl来进行外带数据。

Payload：

自定义一个web服务即可接收到 笔者这里使用的是dnslog 得不到发出的参数。如图：


当然反弹shell也是一种不错的姿势 这里就不再描述了。

四：flask的一些其他问题

Python的session值篡改攻击

在CTF考点中还存在一种身份伪造类的题目。我们看一下该代码块的sess路由 如图：

我们可以看到，这里定义了session[money]=100。当我们访问/sess时 服务端
就会返回一个jwt给我们 如图：


可以看到session是以jwt来进行存储的，而使用jwt存储是有危害的。
关于jwt的解释：https://www.j**u.com/p/576dbf44b2ae
只要我们获取SECRET_KEY 那么该JWT是可以进行伪造的。
问题是我们如何进行获取SECRET_KEY？

第一种：通过SSTI的{{config}}

如图：


我们可以看到 {{config}}是可以窃取出SECRET_KEY。

第二种：通过Linux中的/proc/self/environ


第三种：爆破

有一道叫做[CISCN2019华北赛区 Day1 Web2]ikun 的题目涉及到了这种姿势
其中又提到了Python反序列化这里奉上WriteUp：
https://blog.csdn.net/weixin_43345082/article/details/97817909

我们可以通过flask-session-cookie-manager工具来生成恶意的JWT即可完成身份伪造工具
GitHub：https://github.com/style-404/flask-session-cookie-manager。
首先我们对当前的JWT进行base64解码 如图：
对于反序列化 笔者会在0x02中进行描述。


这里可以得出一条JSON数据过来 那么我们使用flask-session-cookie-manager工具
借助SECRET_KEY来将money篡改为999.
工具使用：python3 flask_session_cookie_manager3.py encode -s "secret_key" -t "json"


修改本地的session值 随后访问/test查看结果。


可以看到成功篡改money的值。

基于DEBUG的PIN码攻击
它所利用的条件为 任意文件读取+flask的DEBUG模式。
参考文章：https://xz.aliyun.com/t/2553
这里就不再做演示了

五：部分CTF题目实例

Real -> [Flask]SSTI

这道题是比较基础的一道题目 无任何过滤 我们直接进行注入即可。


可以看到表达式被正常解析 那么继续往下操作即可。

构造Payload：

命令执行结果如图：


WEB -> [GYCTF2020]FlaskApp
该题目有两个功能 Base64加密与Base64解密 在Base64解密处存在模板注入。

题目如图:


解密结果：


由此得知存在ssti。

经过测试 得知75存在可利用的function为__init__如图：


提交后：


但继续往下构造攻击链时 发现过滤了一些敏感关键字 使用open进行读取源码：


源码过滤如图：


我们可以看到万恶的request也被过滤了 但是这里我们可以使用字符拼接来进行绕过popen可以使用中括号加字
符拼接的方式进行调用，那么构造Payload：{{[].__class__.__base__.__subclasses__()[75].__init__.__globals__[
builtins__']['__imp'+'ort__']('o'+'s')['po'+'pen']('ls /').read()}}
编码为base64后提交查看一下结果：


存在flag关键字 导致我们无法读取 这里我们可以通过命令执行的绕过姿势 \\ 来进行绕过
再次构造Payload：

编码为base64后进行提交：


WEB -> [CSCCTF 2019 Qual]FlaskLight
打开题目源码发现提示参数 search


那么我们可以通过?search={{2*3}}来查看一下结果。


可以看到6弹我们一脸 那么此处存在ssti。

__subclasses__丢进Burp进行爆破键值 如图：


得出下标为59的__init__魔术方法可以被利用 如图：


构造Payload至__globals__发现被过滤 简单访问一下 真的返回500 如图:


可以使用request.arg.x 来进行绕过 构造Payload：

查看结果：


再次构造Payload读取flag：

如图:


WEB -> [pasecactf_2019]flask_ssti

查看源代码 发现Ajax请求：


笔者在构造Payload时 发现过滤了 单引号（‘）点（.） 下划线（_） 那么我们可以通过双引
号来解析变量，并且使用16进制代替下划线即可。

如图：


构造Payload来进行爆破下标：

发现下标为91的__init__方法可以被利用 如图:


构造Payload执行命令：

其中

为 cat /proc/self/cwd/app.py 这里转换可以使用笔者已经写好的脚本：

结果如图：


可以看到flag文件被os删掉了 但是flag的值被存放于app.config当中 并且经过了
encode函数处理 我们可以看一下encode函数的定义：


是使用的异或算法 那么现在我们只需要从config中拿到加密后的flag值并且
将它再次执行一下encode函数即可得到flag。


再次执行函数


则得到flag。

WEB -> [PASECA2019]honey_shop

该题目属于JWT身份伪造攻击，首先我们打开主页 可以看到金额为1336 如图：


而flag需要1337


在/download路由下存在文件下载 猜测存在任意文件下载 那么我们下载../../../../../../../../../p
roc/self/environ来进行观察 如图：


成功下载到并拿到SECRET_KEY 然后我们对当前网址的jwt使用base64进行解密 得出：


伪造为：{"balance":1338,"purchases":[]} 即可购买flag了。


0x02 Python反序列化漏洞利用

原理文章推荐
因为在知乎有位师傅写的非常不错，那么笔者在这里也不去班门弄斧。

传送门：https://zhuanlan.zhihu.com/p/89132768

这里做一下总结 并且对一种利用姿势扩大成果 然后分享一道有意思的例题。

Python反序列化能干什么？

R指令码的RCE

Python的反序列化比PHP危害更大 可以直接进行RCE。

编写测试脚本：

会在当前目录生成hacker.txt 内容为序列化的值。如图：


我们再次使用pickle进行反序列化即可执行dir命令。


这里可以看到成功执行了dir命令。

c指令码的变量获取

当R指令码被禁用后 我们可以采取这种姿势来获取变量。

在当前目录下创建flag.py文件 并且存放一个flag变量 当作模块来进行使用。如图：


编写获取flag变量的脚本：

主要思路为：cflag\nflag\n当作test属性的value值压进了前序栈的空dict 随后使用b覆盖了
Person类的__dict__成员属性 导致了变量被窃取。
我们可以看到pickle.loads返回的对象下的test就是flag的值如图：


c指令码的变量修改

当R指令码被禁用后并且find_class函数只允许获取__main__中的变量时
我们可以采取这种姿势来修改任意变量。
在原理文章中并没有提到一种姿势 而有一种姿势也是可以进行利用的
我们先按照原理文章来测试一遍。

测试脚本:

主要思路为：使用c将flag模块导入进来 通过ub来更新flag模块的__dict__属性 故可以恶意修改变量的值。

查看结果：


我们可以看到 flag包中的flag变量被成功修改。
那么在反序列化中 一个普通字符串也是可以当作一种数据来进行序列化的所以
这里并不需要Person的类支撑即可完成变量修改。
修改脚本如下：

结果：


那么就成功篡改了flag包中的flag变量的内容。

__setstate__ 特性 RCE

编写测试脚本：
i
主要思路为：借助于__setstate__的特性造成了RCE。

执行结果：


可以看到成功执行了dir命令。

近看一道ssrf+反序列化+SSTI的例题

这道题是朋友很早之前就留下来的 在网上也找不到现成的反序列化题目就用它好了。

题目代码是这样的：

在45行中存在一个判断。

如果进入到该分支则调用至urllib.request.urlopen函数那么我们看一下get_domain
方法是逻辑是怎么样的。


在27行中出现了漏洞问题 如果url中存在 / 则返回@符号往后的内容 那么这里存在一个伪造的情况
例如：http://127.0.0.1:3306/?@www.baidu.com/，
则会匹配到www.baidu.com/ 但是实际发送出的HTTP请求还是发送至127.0.0.1身上
所以说这里存在一个SSRF漏洞问题。
而在51-68行中确实验证了访问者的IP
这里可以使用SSRF进行绕过 如图：


61行禁用了R指令 则表示不可以使用__reduce__进行命令执行操作 可以看到63行实例化了
RestrictedUnpickler类 而该类则继承了pickle.Unpickler类 如图：


同时重写了find_class的方法 这时c指令只可以进行导入本地模块。而类名中存在 R关键字 则无法
进行__setstate__姿势的RCE 这里利用方式只剩下一种：c指令码的变量修改。
但是变量修改有什么用呢？我们可以注意到第67行的ctf_config包下的name变量 如图：


直接将变量的值拼接到Template方法中这里存在一个SSTI注入问题。
那么思路就有了：通过get_data路由发送SSRF请求->admin路由接收进行反序列化->修
改ctf_config下的name属性为SSTI注入语句->实现RCE。
那么编写POC脚本：

传递Payload：
http://127.0.0.1:8000/get_baidu?url=http://127.0.0.1:8000/admi
n?data=SSTI的值%26@www.baidu.com/
如图：


成功进行SSTI注入 笔者发现__subclasses__()的第81下标存在可利用的function
那么这里直接执行whoami：


可以看到成功执行了 whoami。

0x03 尾巴

无聊的话 就一起来玩会Python吧。