在NCTF/NJUPTCTF 2021中有一道misc题:

我们可爱的Hex酱又有了一个强大的功能，可以去执行多行语句惹~
但是为了防止有些居心叵测的人，我们专门把括号，单双引号，都过滤掉，噢对不准色色，所以也不准出现h哟~

这是一篇Code-Breaking 2018鸽了半年的Writeup，讲一讲Django模板引擎沙箱和反序列化时的沙箱，和如何手搓Python picklecode绕过反序列化沙箱。

Python的urllib库（在Python2中为urllib2，在Python3中为urllib）有一个HTTP协议下的协议流注入漏洞。如果攻击者可以控制Python代码访问任意URL或者让Python代码访问一个恶意的web servr，那这个漏洞可能会危害内网服务安全。

本文源于老外@nvisium在其博客发表的博文《Injecting Flask》，在原文中作者讲解了 Python 模板引擎Jinja2在服务端模板注入 (SSTI) 中的具体利用方法，在能够控制模板内容时利用环境变量中已注册的用户自定义函数进行恶意调用或利用渲染进行 XSS 等。

这个pdf中深入Python的核心库进行分析，并且探讨了在两年的安全代码审查过程中，一些被认为是最关键的问题，最后也提出了一些解决方案和缓解的方法。我自己也在验证探究过程中添油加醋了一点，如有错误还请指出哈。

近日，在测试某个项目时，无意中发现在客户机的机器上可以直接运行一条Python命令来执行服务器端的Python脚本，故而，深入测试一下便有了下文。

最近审查代码发现某些产品在登录的JS代码中泄露了SECRET_KEY,将该值作为密码加密的盐，这样就暴露了加密salt不太好吧，更重要的是对django的安全造成了极大的威胁。

Python由于其简单，快速，库丰富的特点在国内使用的越来越广泛，但是一些不好的用法却带来了严重的安全问题，本文从Python源码入手，分析其语法树，跟踪数据流来判断是否存在注入点。

现在一般的web开发框架安全已经做的挺好的了，比如大家常用的django，但是一些不规范的开发方式还是会导致一些常用的安全问题，下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》，这篇文档主要讲述各种常用错误场景，基本上都是咱们自己的开发人员犯的错误，敏感信息已经去除。

在开始实验之前，得先说明这并不是真正意义上的实验。
并且这个实验前提也很简单：AV 查杀很大程度上依赖文件特征，应用程序沙盒/动态查杀。
因此我也很自信如果通过修改可执行文件的部分以及一些基础实用的沙盒绕过方法就可以使大部分客户端AV失效。

文章内容仅供学习研究、切勿用于非法用途！
这次我们使用Python编写一个具有键盘记录、截屏以及通信功能的简易木马。依然选用Sublime text2 +JEDI（python自动补全插件）来撸代码，安装配置JEDI插件可以参照这里： http://drops.wooyun.org/tips/4413

如果你从未听过服务端模板注入（SSTI）攻击，或者不太了解它是个什么东西的话，建议在继续浏览本文之前可以阅读一下James Kettle写的这篇文章。

数据序列化，这是个很常见的应用场景，通常被广泛应用在数据结构网络传输，session存储，cache存储，或者配置文件上传，参数接收等接口处。主要作用是为了能够让数据在存储或者传输的时候能够单单只用string的类型去表述相对复杂的数据结构，方便应用所见即所得，直接进行数据交流处理。