安科网

Python3命令注入防范

lhxxhl

lhxxhl

2020-05-26

关注 关注

一、背景说明

说实话自己是做安全的,平时总是给别人代码找茬,但轮到自己写代码有时比开发还不注重安全,其中有安全脚本一般比较小考虑安全那么处理安全问题的代码比重将会大大超过业务代码的问题也有不是专职开发添加一项功能还没开发那么熟练的问题。由于安全脚本一般不是对外开启服务的,所以一般也不会暴出什么问题。

但前段时间被拉群通知说自己写的一个脚本存在命令注入漏洞,开始很讶异,经沟通和分析之后发现是因为脚本有通过system调用一个二进制文件上报执行存在风险命令的操作,当构造一个命中风险判定规则且进一步构造注入语法的命令时,即能实现命令注入。

二、直接使用shlex.quote()进行修复

防范命令入注我们一般都会建议过滤\n$&;|‘"()`等shell元字符,但自己实现一个个字符处理还是比较麻烦的,我们尽量寻求一种简单的方法最好是现成的函数或者库进行处理。

最后在这里看到说可以使用shlex.quote()进行处理:https://python-security.readthedocs.io/security.html#shell-command-injection

示例代码如下:

import shlex


filename_para = ‘somefile‘
command = ‘ls -l {}‘.format(filename_para)
print("except result command:")
print("{}\n".format(command))

filename_para= ‘somefile; cat /etc/passwd‘
command = ‘ls -l {}‘.format(filename_para)
print("be injected result command:")
print("{}\n".format(command))

filename_para = ‘somefile; cat /etc/passwd‘
command = ‘ls -l {}‘.format(shlex.quote(filename_para))
print("be injected but escape result command:")
print("{}\n".format(command))

运行结果如下:

Python3命令注入防范

三、自行写代码实现shlex.quote()进行修复

shlex.quote()是Python3.3之后才引入的,shlex.quote()代码也很简单,如果要兼容没有该函数的Python版本可以自行实现该函数。

shlex.quote()源代码链接:https://github.com/python/cpython/blob/master/Lib/shlex.py#L325

从原理上看,shlex.quote()所做的就是两件事,一是在字符串最外层加上单引号使字符串只能做为一个单一体出现,二是将字符串内的单引号用双引号引起来使其失去可能的闭合功能。

示例代码如下:

import re


def quote(s):
    """Return a shell-escaped version of the string *s*."""
    # return if string in null
    if not s:
        return "‘‘"
    # _find_unsafe = re.compile(r‘[^\%+=:,./-]‘, re.ASCII).search
    # return if string have no those char.
    if re.search(r‘[^\%+=:,./-]‘, s, re.ASCII) is None:
        return s
    # use single quotes, and put single quotes into double quotes
    # the string $‘b is then quoted as ‘$‘"‘"‘b‘
    return "‘" + s.replace("‘", "‘\"‘\"‘") + "‘"


if __name__ == "__main__":
    filename_para = ‘somefile‘
    command = ‘ls -l {}‘.format(filename_para)
    print("except result command:")
    print("{}\n".format(command))

    filename_para= ‘somefile; cat /etc/passwd‘
    command = ‘ls -l {}‘.format(filename_para)
    print("be injected result command:")
    print("{}\n".format(command))

    filename_para = ‘somefile; cat /etc/passwd‘
    command = ‘ls -l {}‘.format(quote(filename_para))
    print("be injected but escape result command:")
    print("{}\n".format(command))

运行结果如下:

Python3命令注入防范

参考:

https://pypi.org/project/shellescape/

python3 https

lhxxhl

lhxxhl

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

新方向、新功能:Python3.9 完整版面世了

本文转载自公众号“读芯术”。很显然,Python3.9是标志这一著名编程语言从旧路线演化到新路径的转折点。本文就将带大家探索其新功能,了解Python的未来走向。此次更新有两个重大变化,虽然直观上不受影响,但要开始注意了:作为一种语言,Python的发展将

chuckchen 2020-10-31

Linux系统安装Python3环境

再次运行python命令后就可以使用python命令窗口了。看到/usr/bin/python和/usr/bin/python2都是软链接,/usr/bin/python指向/usr/bin/python2,而/usr/bin/python2最终又指向/u

Will0 2020-10-12

Python3.9正式发布,16岁高中生自制「新特性必知图」

Python3.9,「千呼万唤始出来」。先来速看下此次发布版本的重点。PEP 584,为 dict 增加合并运算符。PEP 585,标准多项集中的类型标注泛型。PEP 614,放宽对装饰器的语法限制。PEP 616,移除前缀和后缀的字符串方法。PEP 59

Dreamhome 2020-10-09

关于Python3.9,你不可不知的4个新特性

在Python3.9,如果你有两个词典,现在可以用这些运算符进行合并和更新。这些是非常简单的操作,因此也是非常简单的功能,考虑到你可能经常执行这些操作,Python3.9 提供的这两个内置函数应该能让你非常爽。Python 3.9 的数学模块进行了不少的优

xirongxudlut 2020-09-28

Linux下Python3.6的安装及避坑指南

Python3在安装的过程中可能会用到各种依赖库,所以在正式安装Python3之前,需要将这些依赖库先行安装好。yum -y install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlit

星辰大海的路上 2020-09-13

用个小技巧,趁你不备,rm -rf你的电脑

大家回想一下,你是不是遇到过这种情况:有时候,你访问一个网站,它突然给你下载了一个东西。特别是当你用 Chrome 的时候,浏览器直接就自动给你下载到“下载”文件夹里面去了,如下图所示:。而大多数时候,你只是把 Chrome 的这个提示关掉了,并没有去主

chaochao 2020-08-31

python3 在服务器上打印资产信息

url 为 资产信息接口地址,返回为json信息。

hanxia 2020-08-17

Mac上安装Python3教程

官网下载最新的版本的Python3. Mac默认的版本是2.7,所以需要配置版本为最新版本3.x. 编辑本地环境变量。在最后面添加python的路径

猪猪侠喜欢躲猫猫 2020-08-17

Python3.8安装Pygame教程步骤详解

今天我们就在之前安装过PyCharm的基础上,安装Pygame,下面是安装的步骤,希望能够帮到大家。OK,我们找到我们要的pygame:。切换完路径之后,使用pip install pygame-1.9.6-cp38-cp38-win_amd64.whl进

快递小可 2020-08-16

Python print() 函数

print()方法用于打印输出,最常见的一个函数。在 Python3.3 版增加了 flush 关键字参数。objects -- 复数,表示可以一次输出多个对象。输出多个对象时,需要用 , 分隔。sep -- 用来间隔多个对象,默认值是一个空格。end -

shengge0 2020-07-26

jupyter notebook 同时存在python3.5 和python3.6

# 更改里面的kernel.json文档中Python的路径调用,改为所需要的Python版本

巩庆奎 2020-07-21

什么是单元测试

单元测试是用来对一个模块、一个函数或者一个类来进行正确性检验的测试工作。如果测试通过则说明我们这个函数或功能能够正常工作,如果失败要么测试用例不正确,要么函数有bug需要修复。‘TEST‘: {‘CHARSET‘: ‘utf8‘, },

张文倩数据库学生 2020-07-19

Python3.8环境安装PyHook3

利用CMD窗口定位到解压缩的文件夹执行setup.py。将生成的文件放到C:\Python3.7\Lib\site-packages\中。2 .安装pythoncomhttps://sourceforge.net/projects/pywin32/file

xirongxudlut 2020-07-18

Python3入门系列之-----内置的文件操作模块OS

  在自动化测试中,经常需要查找操作文件,比如说查找配置文件,查找测试报告,经常要对大量文件和大量路径进行操作,这个时候就需要用到os模块。如果对软件测试、接口测试、自动化测试、技术同行、持续集成、面试经验交流。感兴趣可以进到902061117,群内会有不

Ericbig 2020-07-18

python 多线程 QTimer实现多线程

使用线程可以把占据长时间的程序中的任务放到后台去处理。程序的运行速度可能加快。每个独立的线程有一个程序运行的入口、顺序执行序列和程序的出口。但是线程不能够独立执行,必须依存在应用程序中,由应用程序提供多个线程执行控制。每个线程都有他自己的一组CPU寄存器,

kyelu 2020-07-09

在Window和Mac 下安装Python3 和Jupyter notebook

下载之后安装勾选PATH,自动添加到系统环境变量。Jupyter notebook 是一个基于网页的交互式应用程序,我们可以在网页上直接编写Python代码和运行代码,也可以编写说明文档。如果要关闭直接Ctrl+C关闭服务,关闭之前记得保存哦。

liangzhouqu 2020-07-07

Python3种格式化字符串方法

使用Python的伙伴们,经常会用到print输出日志进行调试,那么如何格式化输出字符串?今天跟大家继续分享关于Python的小知识。我们经常会用到%-formatting和str.format()来格式化,而在Python 3.6版本开始,增加了f-s

GuoSir 2020-06-28

第九天python3 闭包

  第四行不会报错,c已经在counter函数中定义过了,而且inc中的使用方式是为c的元素修改值,而不是重新定义;  第八行打印1,2;  第十行打印3,因为第九行的c和counter中的c不一样,而inc引用的是自由变量正式counter的函数;

chaigang 2020-06-27

linux集群部署深度学习平台Pytorch

# enable-shared 是必须要写的,否则后面会遇到错误提示:Command failed with rc=65536 make make install. 若出现python相关版本信息,说明安装成功。这样问题就解决了。

pythonxuexi 2020-06-25

python3与fastdfs分布式文件系统交互

注意:client.conf是从fdfs服务器上复制到django代码机器上的文件,需要将里面的base_path路径修改成存放client.conf的路径

joynet00 2020-06-21
lhxxhl

lhxxhl

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号