Python pth文件写入getshell

Y4er 收录于类别代码审计

2023-04-17 2023-04-17 约 471 字预计阅读 1 分钟

警告

本文最后更新于 2023-04-17，文中内容可能已过时。

https://www.sonarsource.com/blog/pretalx-vulnerabilities-how-to-get-accepted-at-every-conference/

在这篇文章中学到的，记一下。

python的site模块支持"Site-specific configuration hook"的功能，这个功能点本身是用来将特定路径加入模块搜索路径。该模块在初始化期间自动导入。

sys.prefix和sys.exec_prefix在C:/Python，那么创建路径为C:\Python\Lib\site-packages\1.pth的pth文件，然后其内容为

1
c:/windows/temp/

那么在新的python进程中，temp路径将被添加到sys.path中

在site.py的实现中，有这么一段

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
for n, line in enumerate(f):
    if line.startswith("#"):
        continue
    if line.strip() == "":
        continue
    try:
        if line.startswith(("import ", "import\t")):
            exec(line)
            continue
        line = line.rstrip()
        dir, dircase = makepath(sitedir, line)
        if not dircase in known_paths and os.path.exists(dir):
            sys.path.append(dir)
            known_paths.add(dircase)