Перейти к содержанию

Перейти на основной сайт jethub.pro. По всем вопросам обращаться через info@jethub.pro.

Документация jethub.pro

JP1231C

Инициализация поиска

Главная
Python
Утечка данных

Документация jethub.pro

Главная
Главная
Python
Python
- Общие
  Общие
  - Класс «Вызов Функции»
    Класс «Вызов Функции»
    
    Инъекции
    Инъекции
    
    JP1215C
    
    JP1217C
    
    JP1219C
    
    JP1221C
    
    JP1223C
    
    JP1225C
    
    JP1227C
    
    JP1233C
    
    JP1235C
    
    Библиотеки
    Библиотеки
    
    JP0239C
    
    JP0415C
    
    JP0417C
    
    JP0421AC
    
    JP1025C
    
    JP1029C
    
    JP1031C
    
    JP1033C
    
    JP1037C
    
    JP1237C
    
    JP1415C
    
    JP1417C
    
    JP1419C
    
    Протоколы SSL-TLS-SSH
    Протоколы SSL-TLS-SSH
    
    JP1015C
    
    JP1017C
    
    JP1021C
    
    JP1027C
    
    JP0215A
    
    JP0217C
    
    JP0219C
    
    JP0225C
    
    JP0661C
    
    JP1023C
    
    JP1231C JP1231C
    Содержание
    
    Использование знака подстановки при вызове команд ОС
    
    Проверяются следующие команды
    
    Список вызовов
    
    Дополнительная информация
  - Класс «Определение Функции»
    Класс «Определение Функции»
    
    JP0227F
    
    JP1019F
  - Класс «Исключение»
    Класс «Исключение»
    
    JP0233E
    
    JP0237E
  - Класс «Поиск Строк»
    Класс «Поиск Строк»
    
    JP0221S
    
    JP0223S
    
    JP0229S
    
    JP0419S
    
    JP1229S
- Специальные
  Специальные
  - Класс «Вызов Функции из списка blacklist»
    Класс «Вызов Функции из списка blacklist»
    
    JP0615B
    
    JP0617B
    
    JP0619B
    
    JP0621B
    
    JP0623B
    
    JP0625B
    
    JP0627B
    
    JP0629B
    
    JP0633B
    
    JP0635B
    
    JP0637B
    
    JP0639B
    
    JP0641B
    
    JP0643B
    
    JP0645B
    
    JP0647B
    
    JP0649B
    
    JP0651B
    
    JP0653B
    
    JP0655B
    
    JP0659B
  - Класс «Импорт Функции из списка blacklist»
    Класс «Импорт Функции из списка blacklist»
    
    JP0815B
    
    JP0817B
    
    JP0819B
    
    JP0823B
    
    JP0825B
    
    JP0827B
    
    JP0829B
    
    JP0831B
    
    JP0833B
    
    JP0835B
    
    JP0837B
    
    JP0839B
    
    JP0843B
    
    JP0847B
Утечка данных
Утечка данных

JP1231C¶

Использование знака подстановки при вызове команд ОС¶

Использование знака подстановки * (wildcard) от привилегированного аккаунта представляет собой уязвимость, в частности при использовании с командами, которые имеют потенциально небезопасные флаги.

Проверяются следующие команды¶

chown
chmod
tar
rsync

Список вызовов¶

subprocess.Popen
subprocess.call
os.system
os.popen
popen2.Popen3
popen2.Popen4
commands.getoutput
commands.getstatusoutput
os.execl
os.execle

Дополнительная информация¶

https://cwe.mitre.org/data/definitions/78.html
https://materials.rangeforce.com/tutorial/2019/11/08/Linux-PrivEsc-Wildcard/

© 2022 - с.г. jethub.pro