Python中eval帶來的潛在風險
0x00 前言
eval是Python用于執(zhí)行python表達式的一個內(nèi)置函數(shù),使用eval,可以很方便的將字符串動態(tài)執(zhí)行。比如下列代碼:
|
1 2 3 4 |
|
當內(nèi)存中的內(nèi)置模塊含有os的話,eval同樣可以做到命令執(zhí)行:
|
1 2 3 4 |
|
當然,eval只能執(zhí)行Python的表達式類型的代碼,不能直接用它進行import操作,但exec可以。如果非要使用eval進行import,則使用__import__:
|
1 2 3 4 5 6 7 8 9 10 11 |
|
在實際的代碼中,往往有使用客戶端數(shù)據(jù)帶入eval中執(zhí)行的需求。比如動態(tài)模塊的引入,舉個栗子,一個在線爬蟲平臺上爬蟲可能有多個并且位于不同的 模塊中,服務器端但往往只需要調用用戶在客戶端選擇的爬蟲類型,并通過后端的exec或者eval進行動態(tài)調用,后端編碼實現(xiàn)非常方便。但如果對用戶的請 求處理不恰當,就會造成嚴重的安全漏洞。
0x01 “安全”使用eval
現(xiàn)在提倡最多的就是使用eval的后兩個參數(shù)來設置函數(shù)的白名單:
Eval函數(shù)的聲明為eval(expression[, globals[, locals]])
其中,第二三個參數(shù)分別指定能夠在eval中使用的函數(shù)等,如果不指定,默認為globals()和locals()函數(shù)中 包含的模塊和函數(shù)。
|
1 2 3 4 5 6 7 8 9 10 11 |
|
如果指定只允許調用abs函數(shù),可以使用下面的寫法:
|
1 2 3 4 5 6 7 8 9 10 |
|
使用這種方法來防護,確實可以起到一定的作用,但是,這種處理方法可能會被繞過,從而造成其他問題!
0x02 繞過執(zhí)行代碼1
被繞過的情景如下,小明知道了eval會帶來一定的安全風險,所以使用如下的手段去防止eval執(zhí)行任意代碼:
|
1 2 3 4 5 6 7 8 |
|
Python中的__builtins__是內(nèi)置模塊,用來設置內(nèi)置函數(shù)的模塊。比如熟悉的abs,open等內(nèi)置函數(shù),都是在該模塊中以字典的方式存儲的,下面兩種寫法是等價的:
|
1 2 3 4 |
|
我們也可以自定義內(nèi)置函數(shù),并像使用Python中的內(nèi)置函數(shù)一樣使用它們:
|
1 2 3 4 5 |
|
小明將eval函數(shù)的作用域中的內(nèi)置模塊設置為None,好像看起來很徹底了,但依然可以被繞過。__builtins__是__builtin__的一個引用,在__main__模塊下,兩者是等價的:
|
1 2 3 4 |
|
根據(jù)烏云drops提到的方法,使用如下代碼即可:
|
1 |
|
上面的代碼首先利用__class__和__subclasses__動態(tài)加載了object對 象,這是因為eval中無法直接使用object。然后使用object的子類的zipimporter對egg壓縮文件中的configobj模塊進行 導入,并調用其內(nèi)置模塊中的os模塊從而實現(xiàn)命令執(zhí)行,當然,前提是要有configobj的egg文件。 configobj模塊很有意思,居然內(nèi)置了os模塊:
|
1 2 3 4 5 6 7 8 9 10 11 |
|
和configobj類似的模塊如urllib,urllib2,setuptools等都有os的內(nèi)置,理論上使用哪個都行。 如果無法下載egg壓縮文件,可以下載帶有setup.py的文件夾,加入:
|
1 |
|
然后執(zhí)行:
|
1 |
|
就可以在dist文件夾中找到對應的egg文件。 繞過demo如下:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
|
0x03 拒絕服務攻擊1
object的子類中有很多有趣的東西,執(zhí)行以下代碼查看:
|
1 |
|
這里我就不輸出結果了,如果你執(zhí)行的話,可以看到很多有趣的模塊,比如file,zipimporter,Quitter等。經(jīng)過測試,file的構造函數(shù)是被解釋器沙箱隔離的。 簡單的,或者直接使object暴露出的子類Quitter進行退出:
|
1 2 3 4 |
|
如果運氣好,遇到對方程序中導入了os等敏感模塊,那么Popen就可以用,并且繞過__builins__為空的限制,栗子如下:
|
1 2 3 4 5 6 7 8 9 10 11 |
|
事實上,這種情況非常多,比如導入os模塊,一般用來處理路徑問題。所以說,遇到這種情況,完全可以列舉大量的功能函數(shù),來探測目標object的子類中是否含有一些危險的函數(shù)可以直接使用。
0x04 拒絕服務攻擊2
同樣,我們甚至可以繞過__builtins__為None,造成一次拒絕服務攻擊,Payload(來自老外blog)如下:
|
1 |
|
運行上面的代碼,Python直接crash掉了,造成拒絕服務攻擊。 原理是通過嵌套的lambda來構造一片代碼段,即code對象。為這個code對象分配空的棧,并給出相應的代碼字符串,這里是KABOOM,在空棧上執(zhí)行代碼,會出現(xiàn)crash。構造完成后,調用fc函數(shù)即可觸發(fā),其思路不可謂不淫蕩。
0x05 總結
從上面的內(nèi)容我們可以看出,單單將內(nèi)置模塊置為空,是不夠的,最好的機制是構造白名單,如果覺得比較麻煩,可以使用ast.literal_eval代替不安全的eval。
參考資料:
【1】http://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html
【2】http://drops.wooyun.org/web/7490
【3】http://stackoverflow.com/questions/3513292/python-make-eval-safe
