Python原型链污染与Flask安全漏洞分析<\/h1>

1. Python原型链污染基础<\/h2>

1.1 Python中的魔术方法<\/h3>

Python中所有以双下划线__<\/code>包围的方法称为魔术方法(Magic Method)，它们会在特定条件下自动执行：<\/p>


__class__<\/code>: 查看变量所属的类<\/li>
__init__()<\/code>: 类的构造函数，创建实例时自动调用<\/li>
__globals__<\/code>: 保存函数全局变量的字典引用，可以修改无继承关系的类属性甚至全局变量<\/li>
__file__<\/code>: 全局变量，返回当前文件路径<\/li>
<\/ul>
1.2 原型链污染原理<\/h3>
在Node.js中，对象的__proto__<\/code>属性指向该对象所在类的prototype<\/code>属性。修改son.__proto__<\/code>中的值可以影响父类。<\/p>
在Python中，通过修改魔术方法或特殊属性，可以达到类似原型链污染的效果，影响类的行为或全局配置。<\/p>
2. Flask框架中的安全漏洞<\/h2>
2.1 文件路径污染<\/h3>
通过污染__file__<\/code>全局变量，可以改变文件路径解析行为。常见的Linux环境变量路径包括：<\/p>

\/proc\/[pid]\/environ<\/code>: 当前进程环境变量<\/li>
\/etc\/environment<\/code>: 系统全局环境变量<\/li>
<\/ul>
2.2 Flask全局变量<\/h3>
Flask框架中两个重要的全局变量：<\/p>


app<\/code>: Flask应用实例，核心对象，负责处理请求和配置<\/p>

包含路由定义(app.route<\/code>)<\/li>
应用启动(app.run()<\/code>)<\/li>
其他配置方法<\/li>
<\/ul>
<\/li>

_static_folder<\/code>: 指定静态文件目录路径<\/p>

默认在应用根目录下的static<\/code>文件夹<\/li>
可通过app.static_folder<\/code>访问和修改<\/li>
<\/ul>
<\/li>
<\/ol>
2.3 静态目录利用<\/h3>
如果_static_folder<\/code>被设置为根目录\/<\/code>，可以通过\/static\/proc\/1\/environ<\/code>访问系统环境变量文件。<\/p>
3. Flask调试模式PIN码攻击<\/h2>
当Flask开启debug模式时，访问\/console<\/code>路由需要PIN码进行调试。PIN码生成依赖六个要素：<\/p>

username<\/strong>: 通过getpass.getuser()<\/code>或\/etc\/passwd<\/code>获取<\/li>
modname<\/strong>: 默认flask.app<\/code>，通过getattr(mod, "file", None)<\/code>获取<\/li>
appname<\/strong>: 默认Flask<\/code>，通过getattr(app, "name", type(app).name)<\/code>获取<\/li>
moddir<\/strong>: Flask库app.py<\/code>的绝对路径<\/li>
uuidnode<\/strong>: MAC地址十进制表示

通过uuid.getnode()<\/code>获取<\/li>
或从\/sys\/class\/net\/eth0\/address<\/code>读取16进制后转换<\/li>
<\/ul>
<\/li>
machine_id<\/strong>: 机器唯一标识

Linux: \/etc\/machine-id<\/code>或\/proc\/sys\/kernel\/random\/boot_id<\/code><\/li>
Docker: \/proc\/self\/cgroup<\/code>中\/docker\/<\/code>后的内容<\/li>
<\/ul>
<\/li>
<\/ol>
PIN码生成算法<\/strong>:<\/p>

Python 3.6: MD5加密<\/li>
Python 3.8: SHA1加密<\/li>
<\/ul>
4. 实际攻击案例分析<\/h2>
4.1 污染app.secret_key<\/code><\/h3>
通过原型链污染修改Flask的app.secret_key<\/code>，可以控制会话签名密钥，可能导致会话伪造。<\/p>
4.2 merge<\/code>函数漏洞分析<\/h3>
merge<\/code>函数实现对象合并功能时，如果没有正确处理属性访问，可能导致原型链污染：<\/p>
def<\/span> merge<\/span>(target, source):
<\/span><\/span>    for<\/span> key in<\/span> source:
<\/span><\/span>        if<\/span> key in<\/span> target and<\/span> isinstance(target[key], dict) and<\/span> isinstance(source[key], dict):
<\/span><\/span>            merge(target[key], source[key])
<\/span><\/span>        else<\/span>:
<\/span><\/span>            target[key] =<\/span> source[key]
<\/span><\/span><\/code><\/pre>攻击者可以通过精心构造的输入修改对象的特殊属性。<\/p>
4.3 WAF绕过技术<\/h3>

Unicode编码绕过<\/strong>: 使用Unicode编码特殊字符绕过字符串过滤，json.loads<\/code>可以解析Unicode<\/li>
UTF-16BE编码<\/strong>: 将payload编码为UTF-16BE绕过某些过滤机制<\/li>
<\/ul>
4.4 XXE漏洞组合攻击<\/h3>
通过原型链污染设置app.config['xml_data']<\/code>为恶意XML代码，再访问触发XML解析的路由，实现XXE文件读取。<\/p>
5. 防御措施<\/h2>

严格输入验证<\/strong>: 对所有用户输入进行严格验证和过滤<\/li>
禁用调试模式<\/strong>: 生产环境务必关闭Flask调试模式<\/li>
最小权限原则<\/strong>: 应用运行使用最小必要权限<\/li>
安全配置<\/strong>:

限制静态目录访问范围<\/li>
使用随机强密钥<\/li>
<\/ul>
<\/li>
代码审计<\/strong>: 检查所有对象合并、属性复制操作的安全性<\/li>
依赖更新<\/strong>: 保持框架和依赖库的最新版本<\/li>
<\/ol>
6. 参考资源<\/h2>

Flask官方安全指南<\/a><\/li>
Python魔术方法文档<\/a><\/li>
CTF中Flask PIN码计算总结<\/a><\/li>
原型链污染原理与防御<\/a><\/li>
<\/ol>

Python原型链污染与Flask安全漏洞分析<\/h1>

1. Python原型链污染基础<\/h2>

2.3 静态目录利用<\/h3>
如果`_static_folder<\/code>被设置为根目录\/<\/code>，可以通过\/static\/proc\/1\/environ<\/code>访问系统环境变量文件。<\/p>`

4. 实际攻击案例分析<\/h2>

4.4 XXE漏洞组合攻击<\/h3>
通过原型链污染设置`app.config['xml_data']<\/code>为恶意XML代码，再访问触发XML解析的路由，实现XXE文件读取。<\/p>`

6. 参考资源<\/h2>

Flask官方安全指南<\/a><\/li>
Python魔术方法文档<\/a><\/li>
CTF中Flask PIN码计算总结<\/a><\/li>
原型链污染原理与防御<\/a><\/li> <\/ol>

Python原型链污染与Flask安全漏洞分析<\/h1>

1. Python原型链污染基础<\/h2>

2.3 静态目录利用<\/h3> 如果_static_folder<\/code>被设置为根目录\/<\/code>，可以通过\/static\/proc\/1\/environ<\/code>访问系统环境变量文件。<\/p>

4. 实际攻击案例分析<\/h2>

4.4 XXE漏洞组合攻击<\/h3> 通过原型链污染设置app.config['xml_data']<\/code>为恶意XML代码，再访问触发XML解析的路由，实现XXE文件读取。<\/p>

6. 参考资源<\/h2> Flask官方安全指南<\/a><\/li> Python魔术方法文档<\/a><\/li> CTF中Flask PIN码计算总结<\/a><\/li> 原型链污染原理与防御<\/a><\/li> <\/ol>

2.3 静态目录利用<\/h3>
如果`_static_folder<\/code>被设置为根目录\/<\/code>，可以通过\/static\/proc\/1\/environ<\/code>访问系统环境变量文件。<\/p>`

4.4 XXE漏洞组合攻击<\/h3>
通过原型链污染设置`app.config['xml_data']<\/code>为恶意XML代码，再访问触发XML解析的路由，实现XXE文件读取。<\/p>`

6. 参考资源<\/h2>

Flask官方安全指南<\/a><\/li>
Python魔术方法文档<\/a><\/li>
CTF中Flask PIN码计算总结<\/a><\/li>
原型链污染原理与防御<\/a><\/li> <\/ol>