刘功瑞的博客
有一天你突然惊醒,发现这一切,都只不过是一场梦。
2020年03月04日
在终端使用pip命令命令提示:Fatal error in launcher: Unable to create process using
新手第一次搭建Python环境往往会出现各种各样的问题,当然我也是个新手,把遇到的最基本的问题也总结出来吧 /嘻嘻,仅供参考。在搭建Python环境时,以及设置了环境变量,但是在cmd中使用pip命令时却提示:Fatal error in launcher: Unable to create process using '"',后来想了一下会不会是因为我电脑有2个版本的Python环境。于是在cmd中使用where Python时,只提示只有一个路径,再在cmd中使用w
作者:admin , 分类:python , 浏览:489 , 评论:0
2020年03月04日
让python pip使用国内镜像
国内源:清华:https://pypi.tuna.tsinghua.edu.cn/simple阿里云:http://mirrors.aliyun.com/pypi/simple/中国科技大学 https://pypi.mirrors.ustc.edu.cn/simple/华中理工大学:http://pypi.hustunique.com/山东理工大学:http://pypi.sdutlinux.org/ 豆瓣:http://pypi.douban.com/simple/note:新版u
作者:admin , 分类:python , 浏览:477 , 评论:0
2019年11月23日
python-flask-ssti(模版注入漏洞)
SSTI(Server-Side Template Injection) 服务端模板注入,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTML文件或者email格式输出无过滤就注定会存在xss,当然还有更多深层次的漏洞。前置知识1.运行一个一个最小的 Flask 应用from flask import Flaskapp = Flask(__name__)@app.route('/')def hello_world():
作者:admin , 分类:python , 浏览:612 , 评论:0
2019年11月01日
pyc文件反编译到Python源码
使用uncompyle项目地址:https://github.com/wibiti/uncompyle2注: 按照官方文档的说法应该是只支持python 2.7,其他版本我也没有测试安装最方便的就是使用pip安装 pip install uncompyle使用方法我使用pip在mac os上安装好后的可执行文件名叫uncompyle6,很奇葩有没有 uncompyle6 --help 查看帮助 uncompyle6 models.pyc > mode
作者:admin , 分类:python , 浏览:665 , 评论:0
2019年11月01日
利用Python pickle实现任意代码执行
大量实践证明构建恶意的pickle非常容易,而对恶意pickle进行unpickle操作将可能会产生一个shell,甚至是一个远程shell。所以,本文中将向大家介绍如何利用Python pickle进行任意代码执行操作。0×00 Python pickle禁忌对于不是自己从已知数据中创建的Python pickle,不要对其进行unpickle操作,这是老生常谈的话题了。同时,pickle模块的Python文档中清晰地陈述道:警告:对于错误的或恶意构造的数据来说,pickle模块并不能保证是安
作者:admin , 分类:python , 浏览:640 , 评论:0
2019年11月01日
Python反序列化漏洞的花式利用
0x00 前记前些时间看了看python pickle的源码,研究了一下一些利用方式,这里总结分享一下反序列化漏洞的一些利用方式,如果本文有错误的地方请各位师傅不吝赐教。漏洞原理就不再赘述了,可以看看关于python sec的简单总结这篇文章。0x01 基础利用通常我们利用__reduce__函数进行构造,一个样例如下:#!/usr/bin/env python# encoding: utf-8import osimport pickleclas
作者:admin , 分类:python , 浏览:624 , 评论:0
2019年11月01日
Numpy反序列化命令执行漏洞分析(CVE-2019-6446)
1、 介绍NumPy 是 Python 机器学习库中之一,主要对于多为数组执行计算。NumPy提供大量的函数和操作,能够帮助 程序员 便利进行数值计算。在NumPy 1.16.0版本之前存在反序列化命令执行漏洞,用户加载恶意的数据源造成命令执行。2、 环境软件环境如下:NumPy 1.16.0Windows10PyCharm 2018.3.23、
作者:admin , 分类:python , 浏览:666 , 评论:0
2019年10月29日
python 输出指定段unicode编码对应的信息(人眼看到)
ython 输出指定段unicode编码对应的信息(人眼看到)比如查看unicode编码中005b-005f这一段的信息:python3代码for i in range(0x005b,0x005f):
print (chr(i))
[
\
]
^python2代码for i in range(0x005b,0x005f
作者:admin , 分类:python , 浏览:669 , 评论:0
2019年10月29日
Python中执行系统命令常见的几种方法
(1) os.system # 仅仅在一个子终端运行系统命令,而不能获取命令执行后的返回信息 # 如果再命令行下执行,结果直接打印出来 例如: >>> import os
>>> os.system('ls')输出结果:chk_err_log.py CmdTool.log install
作者:admin , 分类:python , 浏览:636 , 评论:0
2019年10月29日
Flask(Jinja2) 服务端模板注入漏洞
其实我根本没用过flask模板,但是最近在学习python,研究下划线,莫名其妙地就学习到这里了。首先搭建一个flask环境。在github上下一个docker https://github.com/vulhub/vulhub/tree/master/flask/ssti 然后运行docker先来看一下代码: 由此,在浏览器中输入 http://your-ip/?name=leaf1会出现 hello leaf 但在name后面也可以输入其他东西
作者:admin , 分类:python , 浏览:655 , 评论:0
- 搜索
- 文章归档
- 友情链接
-
